URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 2732
[ Назад ]

Исходное сообщение
"ipfw и established"
Отправлено Evgeniy , 20-Май-06 13:41

Добрый день!
На одном сайте увидел такой вариант настройки фаервольных правил, где одним из первых было такое:
${FwCmd} add pass tcp from any to any established
Т.е. если разрешающие правила следующие за этим отработали и соединение было установлено, то все следующие пакеты будут с установлеными битами RST и ACK, которые будут пропущены этим правилом.
Такой подход хорошо оптимизирует работу, но насколько он безопасен?
Ведь атакующий может сформировать пакет с установленными битами RST и ACK...
Чем это может быть опасно?
Может лучше использовать keep-state?

Содержание

ipfw и established,max3, 00:48 , 21-Май-06
- ipfw и established,Evgeniy, 04:20 , 22-Май-06
  - ipfw и established,max3, 02:03 , 23-Май-06

Сообщения в этом обсуждении

"ipfw и established"
Отправлено max3 , 21-Май-06 00:48

>Может лучше использовать keep-state?
:) Сам спросил и сам ответил - да, получается, что keep-state безопаснее.

"ipfw и established"
Отправлено Evgeniy , 22-Май-06 04:20

>>Может лучше использовать keep-state?
>
>:) Сам спросил и сам ответил - да, получается, что keep-state безопаснее.
>
Подтверждения хочется. Кто-нить может аргументировать какие проблемы могут возникнуть при таком подходе?
Есть ли ограничение на количество динамических правил keep-state?
Если к серверу идет много обращений с разных IP на разные порты. Не станет ли серваку "плохо" при использовании keep-state?
Если правил не много, а подключения идут с разных IP на разные порты то использование keep-state наверно не очень актуально.
Может есть альтернативные, более интересные варианты?

"ipfw и established"
Отправлено max3 , 23-Май-06 02:03

>Есть ли ограничение на количество динамических правил keep-state?
>Если к серверу идет много обращений с разных IP на разные порты.
>Не станет ли серваку "плохо" при использовании keep-state?
>Если правил не много, а подключения идут с разных IP на разные
>порты то использование keep-state наверно не очень актуально.
Файрвол с динамическими правилами не теряет своих преимуществ при увеличении количества хостов/портов, т.к. его преимущество, - отсеивание пакетов, не инициированных правилами keep-state, - будет работать пока будет возможно создание правил. Т.е. интересен вопрос об ограничении на количество правил (net.inet.ip.fw.dyn_max) и на время хранения правил, но это может быть отрегулировано в sysctl.conf.
>Может есть альтернативные, более интересные варианты?
Интереснее будут файрволы, разбирающие контент протоколов более высоких уровней. Для stateful файрвола интереснее ничего не знаю.