firewall (ipfw: static, stateful)
Dan Lukes
dan at obluda.cz
Wed Mar 31 15:44:51 CEST 2010
On 03/31/10 10:06, Miroslav Prýmek:
> Ted nevim, jestli tomu uplne dobre rozumim. Mel jsem za to, ze to funguje takhle:
> 1. klient A (zevnitr site) posle z portu X na www.google.cz:80 paket SYN
> 2. pri pruchodu tohodle paketu firewallem se vytvori dynamicky pravidlo, ktery povoluje
> pakety TCP z www.google.cz:80 na A:X a naopak.
Za predpokladu, ze mas pravidlo popisujici pakety dle pravidla [1] s
keep-state, pak se tak skutecne stane.
> Pokud to dobre chapu, pravidlo existuje po celou dobu existence spojeni a nesmi
> (standardne) vypadnout driv, nez je spojeni ukonceny.
Ano, tak by to idealne melo fungovat.
> Takze pokud nemam firewall postavenej tak, ze dovnitr pousti vsechny pakety
> uz navazanych spojeni (a dynamicky pravidla tak jsou potreba jenom pro handshake), staci
> utocnikovi otevrit tech 8192 spojeni a zadny jiny uz se potom neotevre
> (tzn. firewall dalsi spojeni zacne blokovat).
Tady ti moc nerozumim. Dynamicka pravidla se vytvari kdyz matchne rule s
keep-state (pripadne limit). Kdyz je dynamickych pravidel tolik, kolik
je maximalne dovoleno, tak se dalsi nevytvori.
Jestli to znamena to, co pises, nejsem schopen odhadnout.
> Z toho by teda plynulo, ze stavovy firewall MUSI mit jako jedno z prvnich pravidel
> neco ve stylu
> allow tcp any to any established
> - a tohle pravidlo rozhodne musi byt DRIV nez check-state. Jinak bude fw nachylny
> k dos preplnenim tabulky dyn. pravidel.
> Je to tak?
A jak to "established" pravidlo snizi pocet vytvarenych pravidel a
zeliminuje preplneni tabulky ? A k cemu tam vlastne bude ta stavova cast
firewallu, kdyz se dovnitr bude stejne spoustet cokoliv ?
Dan
More information about the Users-l
mailing list