форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"ipfw check-state и keep-state"
Сообщение от Сергей (??) on 02-Апр-04, 09:46  (MSK)
Здравствуйте. Вот изучаю мат часть по ipfw (пришел к БСД из линукса). Не понятно мне назначение check-state и keep-state, ман до меня не доходит. Если можно опишите конкретную ситуацию и поведение брендмауера в ней. Если коротко то это все.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "ipfw check-state и keep-state"
Сообщение от Сергей (??) on 06-Апр-04, 17:39  (MSK)
Блин, ну пожалейте меня. "Операция состояния - путь для системы сетевой защиты, динамически создающей правила для определенных потоков при обнаружении пакетов соответствующих данному образцу. Поддержка операций состояния доступна через варианты правил check-state, keep-state и limit. ipfw add check-state ipfw add deny tcp from any to any established ipfw add allow tcp from my-net to any setup keep-state" где тут динамическое правило? какому образцу что соответсвует? и вообще зачем нужны эти динамические правила, в чем из преимущество над статическими? нашел на это форуме такой же топик, и он остался без ответа.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "ipfw check-state и keep-state"
	Сообщение от A Clockwork Orange on 06-Апр-04, 17:53  (MSK)
	Третье праивило сверху динамическое. Если пакет удовлетворяет данному правилу, устанавливается соединение, в потоке обмена пакета по этому соединению пакетам будет разерешено ийти и в обратном направлении. Вроде как создается еще правило ipfw add allow tcp from any to my-net to any established именно для этого установленного соединения. Динамическое правило имеет определенное время жизни, после чего правило будет уничтожено.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "ipfw check-state и keep-state"
	Сообщение от Сергей (??) on 06-Апр-04, 19:04  (MSK)
	>Третье праивило сверху динамическое. >Если пакет удовлетворяет данному правилу, устанавливается соединение, в потоке обмена пакета по >этому соединению пакетам будет разерешено ийти и в обратном направлении. Вроде >как создается еще правило >ipfw add allow tcp from any to my-net to any established >именно для этого установленного соединения. >Динамическое правило имеет определенное время жизни, после чего правило будет уничтожено. Спасибо. теперь действительно понятно.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "ipfw check-state и keep-state"
	Сообщение от jaded (??) on 07-Апр-04, 08:45  (MSK)
	>Третье праивило сверху динамическое. >Если пакет удовлетворяет данному правилу, устанавливается соединение, в потоке обмена пакета по >этому соединению пакетам будет разерешено ийти и в обратном направлении. Вроде >как создается еще правило >ipfw add allow tcp from any to my-net to any established >именно для этого установленного соединения. >Динамическое правило имеет определенное время жизни, после чего правило будет уничтожено. Сколько у тебя юзеров ? Просто в ядре фри есть лимит (кажется, 1000) на установку динамических правил. Не хочется самому себе DoS  устраивать. ;-))
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "ipfw check-state и keep-state"
	Сообщение от Сергей (??) on 07-Апр-04, 09:59  (MSK)
	>>Третье праивило сверху динамическое. >>Если пакет удовлетворяет данному правилу, устанавливается соединение, в потоке обмена пакета по >>этому соединению пакетам будет разерешено ийти и в обратном направлении. Вроде >>как создается еще правило >>ipfw add allow tcp from any to my-net to any established >>именно для этого установленного соединения. >>Динамическое правило имеет определенное время жизни, после чего правило будет уничтожено. > >Сколько у тебя юзеров ? Просто в ядре фри есть лимит (кажется, >1000) на установку динамических правил. Не хочется самому себе DoS   >устраивать. ;-)) Позволь отвечу я. То что A Clockwork Orange отвели на этот вопрос вовсе не оначает что он пользуется этим у себя. Это даже не означает что и я буду использовать check-state и keep-state в своей практике. Я задал этот вопрос только потому что хотел разобраться с теорией, так как начал изучать ipfw. Согласись описание "Операция состояния - путь для системы сетевой защиты, динамически создающей правила для определенных потоков при обнаружении пакетов соответствующих данному образцу. Поддержка операций состояния доступна через варианты правил check-state, keep-state и limit" немного непонятная, как для новичка. Так как я пришел в БСД ipfw с линукса iptables мне до сих пор неукладывается в голове что нат это отдельный демон. Я еще до конца не разобрался но там вроде нет такого понятия как маскарадинг, который есть в iptables (отличия НАТа от маскарадинга в том что маскарадинг работает с дайлапом когда ИП динамический). Так что мне еще предстоит многое переварить и усвоить. Благодарен вам за помощь.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "ipfw check-state и keep-state"
	Сообщение от jaded (??) on 08-Апр-04, 10:10  (MSK)
	>>Сколько у тебя юзеров ? Просто в ядре фри есть лимит (кажется, >>1000) на установку динамических правил. Не хочется самому себе DoS   >>устраивать. ;-)) >Позволь отвечу я. [skip] >Так как я пришел в БСД ipfw с линукса iptables мне до >сих пор неукладывается в голове что нат это отдельный демон. Я >еще до конца не разобрался но там вроде нет такого понятия >как маскарадинг, который есть в iptables (отличия НАТа от маскарадинга в >том что маскарадинг работает с дайлапом когда ИП динамический). Ты что-то не то курил. ;-))  При чем тут выдача ip по dhcp ? >Так что мне еще предстоит многое переварить и усвоить. Handbook - хорошая вещь. >Благодарен вам за помощь.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "ipfw check-state и keep-state"
	Сообщение от Сергей (??) on 08-Апр-04, 10:37  (MSK)
	>Ты что-то не то курил. ;-))  При чем тут выдача ip >по dhcp ? На всякий случай. динамический от статического отличается тем что статический всегда один и тот же. На дайлапе если разорвать соединение а потом снова зайти ИП будет другой - это называется динамический. так вот если у меня статический то я могу в: линукс указать ..... -j SNAT --to-source СТАТИЧЕСКИЙ_ИП БСД указать natd -a СТАТИЧЕСКИЙ_ИП если ян а дайлапе то мне прийдется постоянно менять адрес руками. теперь вариант с динамическим ИП в: линукс -j MASQUERADE БСД говорят в PPPD есть опция для ната., сам еще не пробовал только слышал. Извини за столь подробное объяснение, как для чайников, намерений обидеть у меня не было. Просто я пытался рассказать тут DHCP
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "ipfw check-state и keep-state"
	Сообщение от Denis (??) on 08-Апр-04, 13:13  (MSK)
	> >>Ты что-то не то курил. ;-))  При чем тут выдача ip >>по dhcp ? > >На всякий случай. >динамический от статического отличается тем что статический всегда один и тот же. >На дайлапе если разорвать соединение а потом снова зайти ИП будет >другой - это называется динамический. >так вот если у меня статический то я могу в: >линукс указать ..... -j SNAT --to-source СТАТИЧЕСКИЙ_ИП >БСД указать natd -a СТАТИЧЕСКИЙ_ИП >если ян а дайлапе то мне прийдется постоянно менять адрес руками. > >теперь вариант с динамическим ИП в: >линукс -j MASQUERADE >БСД говорят в PPPD есть опция для ната., сам еще не пробовал >только слышал. > >Извини за столь подробное объяснение, как для чайников, намерений обидеть у меня >не было. Просто я пытался рассказать тут DHCP а ты не привязывай к АйПи - укажи интерфейс на котором нат будет крутиться.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.