URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 22986
[ Назад ]

Исходное сообщение
"затруднение с ipfw "
Отправлено PJ , 14-Ноя-02 15:32

А не подскажет ли уважаемый ALL в чем различие вот таких 2 конструкций?
allow tcp from any to any established
allow tcp from <myIP> to any 80 setup
и
allow tcp from <myIP> to any 80
allow tcp from any 80 to <myIP> tcpflags ack
В обоих вариантах соединение устанавливается, но все же как "правильнее" с точки зрения безопасности?
Вторая конструкция сделана по аналогии с правилами ipchains в Linux, а первая по примеру, приведенному в rc.firewall

Содержание

RE: затруднение с ipfw ,zakat, 16:32 , 14-Ноя-02
- RE: затруднение с ipfw ,PJ, 11:06 , 15-Ноя-02

Сообщения в этом обсуждении

"RE: затруднение с ipfw "
Отправлено zakat , 14-Ноя-02 16:32

>А не подскажет ли уважаемый ALL в чем различие вот таких 2
>конструкций?
>
>allow tcp from any to any established
>allow tcp from <myIP> to any 80 setup
>
>и
>
>allow tcp from <myIP> to any 80
>allow tcp from any 80 to <myIP> tcpflags ack
>
>В обоих вариантах соединение устанавливается, но все же как "правильнее" с точки
>зрения безопасности?
>
>Вторая конструкция сделана по аналогии с правилами ipchains в Linux, а первая
>по примеру, приведенному в rc.firewall

allow tcp from any to any established   #from any to any для установленых соединений.
>allow tcp from <myIP> to any 80 setup  #разрешение на установку соединенния.
Комбинация используется для увеличения скорости работы firewall-а.
Второе правило срабатывает раз(при соединении), а остальные пакеты идут через первое(которое стоит где-то в начале списка).Правила обрабатываются последовательно(вот и выиграш во времени)
>
>
>
>allow tcp from <myIP> to any 80 #разрешение всех пакетов от тебя на чужой 80 порт
>allow tcp from any 80 to <myIP> tcpflags ack  #разрешение всех пакетов с  80 порта на myIP с флагом потверждения соединения. Не разрешает(но это может позволить другое правило) установку  соединения from any 80 то myIP.
На мой взгляд, особого влияния на безопастность между ними нет.В случае правильной настройки остальных правил(Запрещаем все, разрешаем необходимое).
Первый вариант на мой взгляд затрудняет учет трафика через правила ipfw.
Это только мое мнение, я не эксперт в этой области. Может кто-то скажет конкретнее.

"RE: затруднение с ipfw "
Отправлено PJ , 15-Ноя-02 11:06

allow tcp from any 80 to <myIP> tcpflags ack #разрешение всех пакетов с 80 порта на myIP с флагом потверждения соединения. Не разрешает(но это может позволить другое правило) установку соединения from any 80 то myIP.
Почему не разрешает? флаг ack при ответе удаленного сервера именно что выставляется (взято из Р.Зиглер "Брандмауэры в Линукс").