Здравствуйте.Вот изучаю мат часть по ipfw (пришел к БСД из линукса). Не понятно мне назначение check-state и keep-state, ман до меня не доходит. Если можно опишите конкретную ситуацию и поведение брендмауера в ней.
Если коротко то это все.
Блин, ну пожалейте меня."Операция состояния - путь для системы сетевой защиты, динамически
создающей правила для определенных потоков при обнаружении пакетов
соответствующих данному образцу. Поддержка операций состояния доступна
через варианты правил check-state, keep-state и limit.ipfw add check-state
ipfw add deny tcp from any to any established
ipfw add allow tcp from my-net to any setup keep-state"где тут динамическое правило?
какому образцу что соответсвует?
и вообще зачем нужны эти динамические правила, в чем из преимущество над статическими?нашел на это форуме такой же топик, и он остался без ответа.
Третье праивило сверху динамическое.
Если пакет удовлетворяет данному правилу, устанавливается соединение, в потоке обмена пакета по этому соединению пакетам будет разерешено ийти и в обратном направлении. Вроде как создается еще правило
ipfw add allow tcp from any to my-net to any established
именно для этого установленного соединения.
Динамическое правило имеет определенное время жизни, после чего правило будет уничтожено.
>Третье праивило сверху динамическое.
>Если пакет удовлетворяет данному правилу, устанавливается соединение, в потоке обмена пакета по
>этому соединению пакетам будет разерешено ийти и в обратном направлении. Вроде
>как создается еще правило
>ipfw add allow tcp from any to my-net to any established
>именно для этого установленного соединения.
>Динамическое правило имеет определенное время жизни, после чего правило будет уничтожено.Спасибо.
теперь действительно понятно.
>Третье праивило сверху динамическое.
>Если пакет удовлетворяет данному правилу, устанавливается соединение, в потоке обмена пакета по
>этому соединению пакетам будет разерешено ийти и в обратном направлении. Вроде
>как создается еще правило
>ipfw add allow tcp from any to my-net to any established
>именно для этого установленного соединения.
>Динамическое правило имеет определенное время жизни, после чего правило будет уничтожено.Сколько у тебя юзеров ? Просто в ядре фри есть лимит (кажется, 1000) на установку динамических правил. Не хочется самому себе DoS устраивать. ;-))
>>Третье праивило сверху динамическое.
>>Если пакет удовлетворяет данному правилу, устанавливается соединение, в потоке обмена пакета по
>>этому соединению пакетам будет разерешено ийти и в обратном направлении. Вроде
>>как создается еще правило
>>ipfw add allow tcp from any to my-net to any established
>>именно для этого установленного соединения.
>>Динамическое правило имеет определенное время жизни, после чего правило будет уничтожено.
>
>Сколько у тебя юзеров ? Просто в ядре фри есть лимит (кажется,
>1000) на установку динамических правил. Не хочется самому себе DoS
>устраивать. ;-))Позволь отвечу я.
То что A Clockwork Orange отвели на этот вопрос вовсе не оначает что он пользуется этим у себя.
Это даже не означает что и я буду использовать check-state и keep-state в своей практике. Я задал этот вопрос только потому что хотел разобраться с теорией, так как начал изучать ipfw. Согласись описание"Операция состояния - путь для системы сетевой защиты, динамически
создающей правила для определенных потоков при обнаружении пакетов
соответствующих данному образцу. Поддержка операций состояния доступна
через варианты правил check-state, keep-state и limit"немного непонятная, как для новичка.
Так как я пришел в БСД ipfw с линукса iptables мне до сих пор неукладывается в голове что нат это отдельный демон. Я еще до конца не разобрался но там вроде нет такого понятия как маскарадинг, который есть в iptables (отличия НАТа от маскарадинга в том что маскарадинг работает с дайлапом когда ИП динамический). Так что мне еще предстоит многое переварить и усвоить.Благодарен вам за помощь.
>>Сколько у тебя юзеров ? Просто в ядре фри есть лимит (кажется,
>>1000) на установку динамических правил. Не хочется самому себе DoS
>>устраивать. ;-))
>Позволь отвечу я.[skip]
>Так как я пришел в БСД ipfw с линукса iptables мне до
>сих пор неукладывается в голове что нат это отдельный демон. Я
>еще до конца не разобрался но там вроде нет такого понятия
>как маскарадинг, который есть в iptables (отличия НАТа от маскарадинга в
>том что маскарадинг работает с дайлапом когда ИП динамический).Ты что-то не то курил. ;-)) При чем тут выдача ip по dhcp ?
>Так что мне еще предстоит многое переварить и усвоить.
Handbook - хорошая вещь.
>Благодарен вам за помощь.
>Ты что-то не то курил. ;-)) При чем тут выдача ip
>по dhcp ?На всякий случай.
динамический от статического отличается тем что статический всегда один и тот же. На дайлапе если разорвать соединение а потом снова зайти ИП будет другой - это называется динамический.
так вот если у меня статический то я могу в:
линукс указать ..... -j SNAT --to-source СТАТИЧЕСКИЙ_ИП
БСД указать natd -a СТАТИЧЕСКИЙ_ИП
если ян а дайлапе то мне прийдется постоянно менять адрес руками.теперь вариант с динамическим ИП в:
линукс -j MASQUERADE
БСД говорят в PPPD есть опция для ната., сам еще не пробовал только слышал.Извини за столь подробное объяснение, как для чайников, намерений обидеть у меня не было. Просто я пытался рассказать тут DHCP
>
>>Ты что-то не то курил. ;-)) При чем тут выдача ip
>>по dhcp ?
>
>На всякий случай.
>динамический от статического отличается тем что статический всегда один и тот же.
>На дайлапе если разорвать соединение а потом снова зайти ИП будет
>другой - это называется динамический.
>так вот если у меня статический то я могу в:
>линукс указать ..... -j SNAT --to-source СТАТИЧЕСКИЙ_ИП
>БСД указать natd -a СТАТИЧЕСКИЙ_ИП
>если ян а дайлапе то мне прийдется постоянно менять адрес руками.
>
>теперь вариант с динамическим ИП в:
>линукс -j MASQUERADE
>БСД говорят в PPPD есть опция для ната., сам еще не пробовал
>только слышал.
>
>Извини за столь подробное объяснение, как для чайников, намерений обидеть у меня
>не было. Просто я пытался рассказать тут DHCPа ты не привязывай к АйПи - укажи интерфейс на котором нат будет крутиться.