forum.opennet.ru - "stateful?" (3)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"stateful?"

Форумы Информационная безопасность (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"stateful?"
Сообщение от Andymion (??) on 21-Янв-05, 18:07 (MSK)
Для каких протоколов применимо keep state в правилах ipfw/ipfilter?
	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

stateful?, Xela, 10:48 , 24-Янв-05, (1)
- stateful?, Andymion, 09:19 , 26-Янв-05, (2)
  - stateful?, Xela, 09:41 , 26-Янв-05, (3)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "stateful?"

Сообщение от Xela (ok) on 24-Янв-05, 10:48  (MSK)

>Для каких протоколов применимо keep state в правилах ipfw/ipfilter?

Для любых. В чем вопрос?

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "stateful?"

Сообщение от Andymion (??) on 26-Янв-05, 09:19  (MSK)

>>Для каких протоколов применимо keep state в правилах ipfw/ipfilter?
>
>
>Для любых. В чем вопрос?
Как отслеживается keep state, например, для icmp ?
С udp еще куда ни шло, создается таблица обмена где контроллируется адрес-порт.
А как работает keep-state для icmp, где понятия порта вообще нет?
Или там все привязывается к icmp type ?

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "stateful?"

Сообщение от Xela (ok) on 26-Янв-05, 09:41  (MSK)

>А как работает keep-state для icmp, где понятия порта вообще нет?
>Или там все привязывается к icmp type ?
Выдержка из ман-а по PF
     For UDP, which is stateless by nature, keep state will create state as
     well.  UDP packets are matched to states using only host addresses and
     ports.
     ICMP messages fall into two categories: ICMP error messages, which always
     refer to a TCP or UDP packet, are matched against the referred to connec-
     tion.  If one keeps state on a TCP connection, and an ICMP source quench
     message referring to this TCP connection arrives, it will be matched to
     the right state and get passed.
     For ICMP queries, keep state creates an ICMP state, and pf(4) knows how
     to match ICMP replies to states.  For example,
           pass out inet proto icmp all icmp-type echoreq keep state
     allows echo requests (such as those created by ping(8)) out, creates
     state, and matches incoming echo replies correctly to states.
     Note: nat, binat and rdr rules implicitly create state for connections.
К сожалению, такого же подробного описания для ipfiler нет. Сзано лишь, что

       state  keeps information about the flow  of  a  communication  session.
              State can be kept for TCP, UDP, and ICMP packets.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "stateful?"
Сообщение от Xela (ok) on 24-Янв-05, 10:48 (MSK)
>Для каких протоколов применимо keep state в правилах ipfw/ipfilter? Для любых. В чем вопрос?
Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "stateful?"
	Сообщение от Andymion (??) on 26-Янв-05, 09:19 (MSK)
	>>Для каких протоколов применимо keep state в правилах ipfw/ipfilter? > > >Для любых. В чем вопрос? Как отслеживается keep state, например, для icmp ? С udp еще куда ни шло, создается таблица обмена где контроллируется адрес-порт. А как работает keep-state для icmp, где понятия порта вообще нет? Или там все привязывается к icmp type ?
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "stateful?"
	Сообщение от Xela (ok) on 26-Янв-05, 09:41 (MSK)
	>А как работает keep-state для icmp, где понятия порта вообще нет? >Или там все привязывается к icmp type ? Выдержка из ман-а по PF For UDP, which is stateless by nature, keep state will create state as well. UDP packets are matched to states using only host addresses and ports. ICMP messages fall into two categories: ICMP error messages, which always refer to a TCP or UDP packet, are matched against the referred to connec- tion. If one keeps state on a TCP connection, and an ICMP source quench message referring to this TCP connection arrives, it will be matched to the right state and get passed. For ICMP queries, keep state creates an ICMP state, and pf(4) knows how to match ICMP replies to states. For example, pass out inet proto icmp all icmp-type echoreq keep state allows echo requests (such as those created by ping(8)) out, creates state, and matches incoming echo replies correctly to states. Note: nat, binat and rdr rules implicitly create state for connections. К сожалению, такого же подробного описания для ipfiler нет. Сзано лишь, что state keeps information about the flow of a communication session. State can be kept for TCP, UDP, and ICMP packets.
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх