firewall (ipfw: static, stateful)

Dan Lukes dan at obluda.cz
Tue Mar 30 23:51:23 CEST 2010


On 03/30/10 23:26, Miroslav Prýmek:
>>>     Existuji nejake odhady, jak naplnena tabulka zacina byt nebezpecna

>> Pokud mas dostatek pameti ... tak neni nebezpecna nikdy.

> To jsem prave myslel jako tu otazku - jestli nekdo nekde nevidel nejaky konkretni priklad "na zeleze XY s YZ RAM stacilo
> otevrit ZX spojeni, aby se server efektivne zhroutil kvuli swapovani".

Nepripada v uvahu. Firewally jsou bez vyjimky kernelove moduly a 
kernelova pamet se nikdy neswapuje, pokud vim.

Jenze pamet neni to an cem dojes. Napriklad ipfw v defaultnim nastaveni 
ma omezen pocet dynamickych pravidel na 8192, pricemz zivotnost 
dynamickeho pravidla se udava ve vterinach. I kdyby slo o jedinou, tak 
ten, kdo je vubec schopen zpusobit vytvoreni dynamickeho pravidla musi 
byt schopen ukon zopakovat osm tisickrat za vterinu.

To je dostupne i cloveku s notebookem za ADSL linkou. A v tomto pripade 
neplati, ze nova pravidla vytlaci stara - kdyz je limit zaplnen tak nova 
pravidla proste nevznikaji.

Nicmene, hodne zalezi jak presne mas firewall vystaven a kdo tedy a za 
jakych okolnosti muze zpusobit vytvoreni takove dynamicke rule.

>> Prestava, ze mi tam jen-tak vznikne tisic dalsich pravidel a timto, o dva rady vetsim, poctem pravidel budou vsechny tyto pakety prochazet me zas az tak moc nelaka. Pohybuju se v tomto konkretnim pripade na hrane toho, co PC router vubec zvlada a prestoze nemam vycisleno jak hodne by ho to zpomalilo, ze by ho to zpomalilo je jasne ...
>>
>
> Tady by me taky zajimaly nejaky konkretni testy

To budes muset hledat sam. Ja nejake videl uz pred tolika lety, ze uz si 
ani nepamatuju kde. To, ze o stavovy firewall moc nestojim je dojem, 
ktery jsem si tehdy odnesl, ale presne udaje ani odkaz na zdroje uz nemam.

						Dan



More information about the Users-l mailing list