firewall (ipfw: static, stateful)

Dan Lukes dan at obluda.cz
Tue Mar 30 21:57:46 CEST 2010


On 03/30/10 21:00, Miroslav Prýmek:
> Jen tak naokraj bych si chtel overit, ze vim, o cem je rec :)
>
> 1. kdyz se mluvi o stateless firewallu, znamena to prakticky proste, ze u pravidel neni uvedeno "keep-state", nebo
>     jeste neco navic (jsou i jine dynamicke tabulky, ktere musim vzit v uvahu - ktere muzou byt tercem ddos)?

Krome keep-state take "limit". Ale hlavne - ackoliv tazatel zminil primo 
ipfw, ja argumentoval tak, aby to platilo pro firewally obecne (mame 
jich na FreeBSD vic). TO co jsem napsal tak povazujuz a platne bez 
ohledu na konkretni pouzity firewall.

> 2. kdyz mam na okraji nejake site stateless firewall, znamena to, ze bud A] musim z vnitrni site ven pristupovat
>     vzdy pres nejakou moji proxy nebo B] pocitace ve vnitrni siti v podstate nemuzu timhle FW chranit?
>
>     Priklad: pocitac A ve vnitrni siti se pripoji z portu XYZ na www.google.cz:80, www.google.cz posle
>     odpoved z portu 80 na A:XYZ ->  na fw musi byt povolen pristup Z VENKU na vsechny (dejme tomu neprivilegovane) porty
>     A.

Ano, i kdyz ne pro kazdy typ paketu - typicky musis povolit nektere ICMP 
a pak samozrejme TCP, vyjma ovsem SYN!ACK.

> 3. mam-li na rozhrani site NAT a v siti uzivatele, kterym neverim, tak muzu klidne pouzit statefull, protoze
>     kdyz bude uzivatel chtit, stejne mi muze zahltit NAT

Zaprve je otazka, k cemu je vedle NAT, ktery sam z principu funguje jako 
stavovy firewall, mit jeste druhy. Asi to v nekterych situacich smysl 
mit muze, je to ale treba posoudit individualne.

Pokud se bude stav probihajicich spojeni udrzovat na dvou mistech (misto 
jednom nebo nejlepe zadnem) bude mit utocnik utok jedine snazsi.

>     Existuji nejake odhady, jak naplnena tabulka zacina byt nebezpecna (napr. typicky je potreba otevrit
>     10000/100k/1M spojeni)? (tim chci rict, kdyz jde treba o tu tady zminenou sit sesti set neduveryhodnych pocitacu,
>     je realne, ze by nekdo provedl dos na NAT, nebo k tomu potrebuje vic pocitacu?)

Pokud mas dostatek pameti a vypocetniho vykonu s ohledem na pocet 
prochazejicich paketu za jednotku casu tak neni nebezpecna nikdy.

> 4. mozna by stalo za zminku, ze stateless FW muze byt rychlejsi - znovu, existuji nejake kvalifikovane odhady rozdilu
>     nebo tak neco (best practices apod.)?

Specielne u ipfw plati, ze paket "prochazi" pravidlem po pravidlu dokud 
nematchne coz urci jeho dalsi osud. Cim vetsi pocet pravidel dokaze 
matchnout na co mozna nejdrivejsim pravidle, tim je zatizeni procesoru a 
zpozdeni nizsi a pruchodnost vyssi.

Mam tu, napriklad, firewall, ktery ma 50 pravidel, ale je peclive 
serazen tak, ze 95% paketu neprojde vic nez deset prvnich.

Prestava, ze mi tam jen-tak vznikne tisic dalsich pravidel a timto, o 
dva rady vetsim, poctem pravidel budou vsechny tyto pakety prochazet me 
zas az tak moc nelaka. Pohybuju se v tomto konkretnim pripade na hrane 
toho, co PC router vubec zvlada a prestoze nemam vycisleno jak hodne by 
ho to zpomalilo, ze by ho to zpomalilo je jasne ...

						Dan




More information about the Users-l mailing list