firewall (ipfw: static, stateful)

Dan Lukes dan at obluda.cz
Wed Mar 31 16:57:19 CEST 2010

Previous message: Re: Re: firewall (ipfw: static, stateful)
Next message: Re: Re: firewall (ipfw: static, stateful)
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

On 03/31/10 16:07, Miroslav Prýmek:
> Myslel jsem to takhle: kdybych mel fw, ktery ven pousti neco (s keep-state) a dovnitr nic (tedy jen pomoci
> "check-state" dovnitr pusti pakety patrici k sessions, ktere byly navazany zevnitr), tak
> utocnikovi bude jednoduse stacit otevrit zevnitr ven 8192 spojeni a nikdo jinej
> uz zadny jiny neotevre, ne?

Jo.

Teda, jen takhle to nakonec ve finale mit nemuzes, jeste tam budes muset 
resit ICMP, ale zhruba tak jak's to popsal to bude fungovat.

A co se tyce nekym jinym zmineneho "bude utocit z jedne IP a tak to lze 
limitovat poctem spojeni na IP" - hloupy utocnik mozna. Ale odeslani 
odchoziho SYN paketu s libovolnou zdrojovou IP je velmi trivialni ukon.

Na druhou steranu je pravda, ze na male siti 256 adresami mame 32 
spojeni na IP, coz je spis dostatecne a tak vhodne zvoleny limit pomoci 
muze.

To ale znamena jen tolik, ze nenarazime na defaultni limit 8192 polozek 
dynamickeho firewallu - utocnik se misto toho proste jen zameri na 
vycerpani "per IP" limitu spojeni a sit zablokuje uplne stejne 
spolehlive ...

							Dan

Previous message: Re: Re: firewall (ipfw: static, stateful)
Next message: Re: Re: firewall (ipfw: static, stateful)
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

More information about the Users-l mailing list