firewall (ipfw: static, stateful)

Josef Hrabec hrabec at naxo.net
Tue Mar 30 11:26:13 CEST 2010


> Ja, co by nahodny kolemjdouci nemajici dostatecne znalosti o konfiguraci
> prvniho firewallu ani o siti jako takove reknu to, co rikam vzdycky -
> vyhody, ktere statefull firewall prinasi (rizika, proti kterycm chrani)
> typicky nevyvazuji rizika, ktera tato konfigurace do systemu vnasi sama
> o sobe a typicky vysledny efekt stavoveho firewallu tak ja mam za
> zaporny. Z toho duvodu bych se pro stavovy firewall nerozhodl a mel oba
> nestavove ...

Moje prvotni uvaha zde byla takova, ze by prvni firewall mel filtrovat
nestavove a propoustet dale jenom pakety pro vybrane sluzby. Mejme v DMZ
web server a postovni server, tedy porty 80 a 25 tcp. A premyslel jsem,
zda-li je rozumne pak v teto ceste jako druhy v rade postavit firewall,
ktery ty porty 80 a 25 propustene prvnim nestavovym firewallem bude jeste
dale kontrolovat, nyni jiz v rezimu stateful.

Zda-li tedy takovy typ reseni je smysluplny, nebo jenom zbytecne
redundantni. Nemam zatim z praktickeho provozu takove konfigurace vetsich
zkusenosti ale rikal jsem si, kdyz uz stateful firewall byl zkonstruovan,
jestli by tedy melo rozumny smysl jej v nejake takoveto kombinaci pouzit.

Dekuji,
Pepa.






More information about the Users-l mailing list