firewall (ipfw: static, stateful)

Richard Willmann mk7ygre33apsq23c at foo.sk
Tue Apr 6 13:43:56 CEST 2010


> Cca 1300 uzivatelu na ethernetu, router (Core2 Duo 2.53GHz, 2GB RAM) s 
> vlany a ospf a jiz zminenym firewallem s padesati pravidly (kde vetsina 
> paketu zdola nejvyse deset), prakticky zadny NAT, s obvyklym tokem v tech 
> zatizenejsich okamzicich neco pres 100MBps ma zatizeni do jednoho 
> procenta - z cehoz ma cca tretinu na svedomi "scitatko dat".

Dane,

uprimne povedane ma tato tema celkom prekvapila a neda mi sa neopytat. Kde 
vidis slabiny stavoveho firewallu? Ak som to spravne pochopil, cely problem 
o ktorom ste diskutovali spociva v moznosti nekontrolovaneho narastu poctu 
zaznamov v stavovej tabulke. Spravne?

Z mojho pohladu totiz za predpokladu, ze budeme hovorit o:

* dostatocne vykonnom stroji,
* inteligentnych sietovych kartach,
* rozumne nastavenych limitoch kontrolujucich manazment stavov (myslim tym 
rozne limity na ich pocet, expiraciu, vazby stavov na zdrojove IP atd.)

prinos moze vyvazit a vo vacsine pripadov aj vyvazi niektore rizika, ktore s 
nasadenim stavoveho firewallu prichadzaju. Okrem lepsieho pocitu z toho, ze 
do siete neprichadzaju pakety, ktore by "nemali nikdy existovat" (pakety 
neprisluchajuce ziadnemu otvorenemu spojeniu) je spracovanie paketov 
stavovym firewallom (ale opat, nie vzdy ale obvykle) rychlejsie nez tym 
nestavovym (z casti overene v praxi a aj v manualovych strankach je 
napisane, ze vyhladavanie v tabulke stavov je rychlejsie nez v tabulke 
firewallovych pravidiel).

Samozrejme, existuje vela pripadov, kedy nasadenie stavoveho firewallu je 
vyslovene zbytocne pripadne dokonca neziaduce.

Ak si najdes chvilku, prosim o reakciu :)


pekny den

rwi 



More information about the Users-l mailing list