Re: Re: firewall (ipfw: static, stateful)

[michal sjx]

> ------------ Původní zpráva ------------
> Od: Miroslav Prýmek <m.prymek na gmail.com>
> Předmět: Re: firewall (ipfw: static, stateful)
> Datum: 31.3.2010 16:08:57
> ----------------------------------------
> 
> On 31.3.2010, at 15:44, Dan Lukes wrote:
> 
> > 
> >> Takze pokud nemam firewall postavenej tak, ze dovnitr pousti vsechny pakety
> >> uz navazanych spojeni (a dynamicky pravidla tak jsou potreba jenom pro
> handshake), staci
> >> utocnikovi otevrit tech 8192 spojeni a zadny jiny uz se potom neotevre
> >> (tzn. firewall dalsi spojeni zacne blokovat).
> > 
> > Tady ti moc nerozumim. Dynamicka pravidla se vytvari kdyz matchne rule s
> keep-state (pripadne limit). Kdyz je dynamickych pravidel tolik, kolik je
> maximalne dovoleno, tak se dalsi nevytvori.
> > 
> > Jestli to znamena to, co pises, nejsem schopen odhadnout.
> > 
> 
> Myslel jsem to takhle: kdybych mel fw, ktery ven pousti neco (s keep-state) a
> dovnitr nic (tedy jen pomoci 
> "check-state" dovnitr pusti pakety patrici k sessions, ktere byly navazany
> zevnitr), tak
> utocnikovi bude jednoduse stacit otevrit zevnitr ven 8192 spojeni a nikdo jinej
> uz zadny jiny neotevre, ne?
> 

Zdravim, mozna jste to uz resily, ale pokud se jedna o utok zevnitr, tak je vetsinou z jednoho pocitace (jedne IP). Takze staci nastavit limit. Neco jako
# ipfw add allow tcp from any to any via ${IF} in dst-port 80 setup limit src-addr 50

Michal