firewall (ipfw: static, stateful)

Dan Lukes dan at obluda.cz
Wed Mar 31 15:44:51 CEST 2010


On 03/31/10 10:06, Miroslav Prýmek:
> Ted nevim, jestli tomu uplne dobre rozumim. Mel jsem za to, ze to funguje takhle:
> 1. klient A (zevnitr site) posle z portu X na www.google.cz:80 paket SYN
> 2. pri pruchodu tohodle paketu firewallem se vytvori dynamicky pravidlo, ktery povoluje
>     pakety TCP z www.google.cz:80 na A:X a naopak.

Za predpokladu, ze mas pravidlo popisujici pakety dle pravidla [1] s 
keep-state, pak se tak skutecne stane.

> Pokud to dobre chapu, pravidlo existuje po celou dobu existence spojeni a nesmi
> (standardne) vypadnout driv, nez je spojeni ukonceny.

Ano, tak by to idealne melo fungovat.

> Takze pokud nemam firewall postavenej tak, ze dovnitr pousti vsechny pakety
> uz navazanych spojeni (a dynamicky pravidla tak jsou potreba jenom pro handshake), staci
> utocnikovi otevrit tech 8192 spojeni a zadny jiny uz se potom neotevre
> (tzn. firewall dalsi spojeni zacne blokovat).

Tady ti moc nerozumim. Dynamicka pravidla se vytvari kdyz matchne rule s 
keep-state (pripadne limit). Kdyz je dynamickych pravidel tolik, kolik 
je maximalne dovoleno, tak se dalsi nevytvori.

Jestli to znamena to, co pises, nejsem schopen odhadnout.

> Z toho by teda plynulo, ze stavovy firewall MUSI mit jako jedno z prvnich pravidel
> neco ve stylu
> allow tcp any to any established
> - a tohle pravidlo rozhodne musi byt DRIV nez check-state. Jinak bude fw nachylny
> k dos preplnenim tabulky dyn. pravidel.
> Je to tak?

A jak to "established" pravidlo snizi pocet vytvarenych pravidel  a 
zeliminuje preplneni tabulky ? A k cemu tam vlastne bude ta stavova cast 
firewallu, kdyz se dovnitr bude stejne spoustet cokoliv ?

Dan



More information about the Users-l mailing list