Всем привет.
Прочитал ман и понял что правило созданное в ipfw является динамической, если в конце прописано keep-state. Так же понял что правило с keep-state имеет короткое время жизни и каждый проходящий пакет продолжает время жизни. Еще я понял что это делается в целях безопасности, но я не могу представить себе пример. Если знаете,дайте пожайлуста пример.
И еще объясните пожайлуста зачем нужен check-state. А то прочитал про check-state и как-то не вполне понятно.
Спасибо вам большое.

• keep-state vs check-state,arachnid, 12:52 , 28-Апр-09
• keep-state vs check-state,AdVv, 15:27 , 28-Апр-09
  • keep-state vs check-state,baza, 15:42 , 28-Апр-09
    • keep-state vs check-state,AdVv, 16:23 , 28-Апр-09
      • keep-state vs check-state,baza, 16:35 , 28-Апр-09

плюс - достаточно писать только одно правило вместо двух - например, разрешает ssh трафик с одного хоста и не прописывает исходящий трафик на этот хост - keep-state создаст правило для этой сессии в обе стороны

check-state - проверка пакетов на попадание в динамические списки в начале списка правил

>Всем привет.
>Прочитал ман и понял что правило созданное в ipfw является динамической, если
>в конце прописано keep-state. Так же понял что правило с keep-state
>имеет короткое время жизни и каждый проходящий пакет продолжает время жизни.
>Еще я понял что это делается в целях безопасности, но я
>не могу представить себе пример. Если знаете,дайте пожайлуста пример.
>И еще объясните пожайлуста зачем нужен check-state. А то прочитал про check-state
>и как-то не вполне понятно.
>Спасибо вам большое.

Если в кратце работает это так:
Запрещаешь все входящие пакеты на внешнем интерфейсе. А для исходящих создаешь разрешающее правило с опцией keep-state. В результате, когда кто-то из твоей сети пытается соединиться с внешним хостом, его пакет попадает на разрешающее правило, и благодаря опции keep-state динамически создается правило для ответного входящего траффика, которое действует только для хоста с которым установлено соединение, и только пока это соединение активно. Как только соединение прерывается, исходящие пакеты прекращают попадать на keep-state правило и динамическое правило исчезает. Образно говоря, в твоей стенке открывается маленькое окошко, когда кто-то изнутри хочет поговорить с тем кто снаружи, и тут-же закрывается как только разговор окончен.

man ipfw

     If the ruleset includes one or more rules with the keep-state or limit
     option, then ipfw assumes a stateful behaviour, i.e., upon a match it
     will create dynamic rules matching the exact parameters (addresses and
     ports) of the matching packet.

     These dynamic rules, which have a limited lifetime, are checked at the
     first occurrence of a check-state, keep-state or limit rule, and are typ-
     ically used to open the firewall on-demand to legitimate traffic only.
     See the STATEFUL FIREWALL and EXAMPLES Sections below for more informa-
     tion on the stateful behaviour of ipfw.

Советуют посмотреть секции STATEFUL FIREWALL и EXAMPLES  ;).

Спасибо,очень хорошо объяснили.Теперь уж точно понял.
Можете дать ссылку на эту английскую статью???
Спасибо.

>Спасибо,очень хорошо объяснили.Теперь уж точно понял.
>Можете дать ссылку на эту английскую статью???
>Спасибо.

Наберите в консоли man ipfw
:)

ok ;)