firewall (ipfw: static, stateful)
Dan Lukes
dan at obluda.cz
Tue Mar 30 23:51:23 CEST 2010
On 03/30/10 23:26, Miroslav Prýmek:
>>> Existuji nejake odhady, jak naplnena tabulka zacina byt nebezpecna
>> Pokud mas dostatek pameti ... tak neni nebezpecna nikdy.
> To jsem prave myslel jako tu otazku - jestli nekdo nekde nevidel nejaky konkretni priklad "na zeleze XY s YZ RAM stacilo
> otevrit ZX spojeni, aby se server efektivne zhroutil kvuli swapovani".
Nepripada v uvahu. Firewally jsou bez vyjimky kernelove moduly a
kernelova pamet se nikdy neswapuje, pokud vim.
Jenze pamet neni to an cem dojes. Napriklad ipfw v defaultnim nastaveni
ma omezen pocet dynamickych pravidel na 8192, pricemz zivotnost
dynamickeho pravidla se udava ve vterinach. I kdyby slo o jedinou, tak
ten, kdo je vubec schopen zpusobit vytvoreni dynamickeho pravidla musi
byt schopen ukon zopakovat osm tisickrat za vterinu.
To je dostupne i cloveku s notebookem za ADSL linkou. A v tomto pripade
neplati, ze nova pravidla vytlaci stara - kdyz je limit zaplnen tak nova
pravidla proste nevznikaji.
Nicmene, hodne zalezi jak presne mas firewall vystaven a kdo tedy a za
jakych okolnosti muze zpusobit vytvoreni takove dynamicke rule.
>> Prestava, ze mi tam jen-tak vznikne tisic dalsich pravidel a timto, o dva rady vetsim, poctem pravidel budou vsechny tyto pakety prochazet me zas az tak moc nelaka. Pohybuju se v tomto konkretnim pripade na hrane toho, co PC router vubec zvlada a prestoze nemam vycisleno jak hodne by ho to zpomalilo, ze by ho to zpomalilo je jasne ...
>>
>
> Tady by me taky zajimaly nejaky konkretni testy
To budes muset hledat sam. Ja nejake videl uz pred tolika lety, ze uz si
ani nepamatuju kde. To, ze o stavovy firewall moc nestojim je dojem,
ktery jsem si tehdy odnesl, ale presne udaje ani odkaz na zdroje uz nemam.
Dan
More information about the Users-l
mailing list