ipfw keep-state
Juraj Belák
giobsd at gmail.com
Thu Apr 19 10:27:07 CEST 2007
Dan Lukes wrote / napísal(a):
> A cemu konkretneji na tom nerozumis ? Proste zaznam pro spojeni ve
> stavu "established" expiruje za jinak dlouhou dobu nez spojeni ve stavu
> "fin-wait".
Vrta mi v hlave prave ta "jinak dlouha doba". Povedzme, ze teoreticky
mi cez firewall prechadzaju pakety z par stovak klientov - moze nastat
pripad, ze mi zostane visiet naraz tolko otvorenych spojeni aj zasluhou
dynamickych rules, ze firewall potrebuje taku dlhu dobu na spracovanie
paketov, ze na vstupe sa zahlti?
>> Podla coho (a ci vobec) treba menit default hodnotu
>> /net.inet.ip.dummynet.hash_size 64.
>
> Bude tezke poradit. Schazi nam klicova informace - ceho se snazis
> dosahnout, nebo, mozna jinak, co te vede vubec k myslence, ze bys mel
> nejake hodnoty menit.
Detto ako vyssie. Ma zmysel predchadzat (teoretickemu?) zahlteniu
firewallu napriklad tym, ze nepouzijem dynamicke rules, alebo
traffic, ktory vznika pri keep-state je taky zanedbatelny, ze
nema zmysel dalej nad tym uvazovat.
>> Preto by som rad vedel, cim je (ak je) v praxi opodstatnene pouzivanie
>> keep-state pravidiel
>
> No, moznosti jsou dve - bud' rozumis tomu, jak dynamicka pravidla
> funguji, ale nevidis v tom zadnou podstatnou a pouzitelnou vyhodu - v
> takovem pripade v tve situaci neni pouzivani keep-state pravidel
> opodstatnene.
Dakujem, Takto som mal formulovat prvu otazku.
Juraj
More information about the Users-l
mailing list