forum.opennet.ru - "затруднение с ipfw " (2)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"затруднение с ipfw "

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Архивированная нить - только для чтения! Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"затруднение с ipfw "
Сообщение от PJ on 14-Ноя-02, 15:32 (MSK)
А не подскажет ли уважаемый ALL в чем различие вот таких 2 конструкций? allow tcp from any to any established allow tcp from <myIP> to any 80 setup и allow tcp from <myIP> to any 80 allow tcp from any 80 to <myIP> tcpflags ack В обоих вариантах соединение устанавливается, но все же как "правильнее" с точки зрения безопасности? Вторая конструкция сделана по аналогии с правилами ipchains в Linux, а первая по примеру, приведенному в rc.firewall
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

RE: затруднение с ipfw , zakat, 16:32 , 14-Ноя-02, (1)
- RE: затруднение с ipfw , PJ, 11:06 , 15-Ноя-02, (2)

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "RE: затруднение с ipfw "

Сообщение от zakat on 14-Ноя-02, 16:32  (MSK)

>А не подскажет ли уважаемый ALL в чем различие вот таких 2
>конструкций?
>
>allow tcp from any to any established
>allow tcp from <myIP> to any 80 setup
>
>и
>
>allow tcp from <myIP> to any 80
>allow tcp from any 80 to <myIP> tcpflags ack
>
>В обоих вариантах соединение устанавливается, но все же как "правильнее" с точки
>зрения безопасности?
>
>Вторая конструкция сделана по аналогии с правилами ipchains в Linux, а первая
>по примеру, приведенному в rc.firewall

allow tcp from any to any established   #from any to any для установленых соединений.
>allow tcp from <myIP> to any 80 setup  #разрешение на установку соединенния.
Комбинация используется для увеличения скорости работы firewall-а.
Второе правило срабатывает раз(при соединении), а остальные пакеты идут через первое(которое стоит где-то в начале списка).Правила обрабатываются последовательно(вот и выиграш во времени)
>
>
>
>allow tcp from <myIP> to any 80 #разрешение всех пакетов от тебя на чужой 80 порт
>allow tcp from any 80 to <myIP> tcpflags ack  #разрешение всех пакетов с  80 порта на myIP с флагом потверждения соединения. Не разрешает(но это может позволить другое правило) установку  соединения from any 80 то myIP.
На мой взгляд, особого влияния на безопастность между ними нет.В случае правильной настройки остальных правил(Запрещаем все, разрешаем необходимое).
Первый вариант на мой взгляд затрудняет учет трафика через правила ipfw.
Это только мое мнение, я не эксперт в этой области. Может кто-то скажет конкретнее.

Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "RE: затруднение с ipfw "

Сообщение от PJ on 15-Ноя-02, 11:06  (MSK)

allow tcp from any 80 to <myIP> tcpflags ack  #разрешение всех пакетов с  80 порта на myIP с флагом потверждения соединения. Не разрешает(но это может позволить другое правило) установку  соединения from any 80 то myIP.
Почему не разрешает? флаг ack при ответе удаленного  сервера именно что выставляется (взято из Р.Зиглер "Брандмауэры в Линукс").

Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "RE: затруднение с ipfw "
Сообщение от zakat on 14-Ноя-02, 16:32 (MSK)
>А не подскажет ли уважаемый ALL в чем различие вот таких 2 >конструкций? > >allow tcp from any to any established >allow tcp from <myIP> to any 80 setup > >и > >allow tcp from <myIP> to any 80 >allow tcp from any 80 to <myIP> tcpflags ack > >В обоих вариантах соединение устанавливается, но все же как "правильнее" с точки >зрения безопасности? > >Вторая конструкция сделана по аналогии с правилами ipchains в Linux, а первая >по примеру, приведенному в rc.firewall allow tcp from any to any established #from any to any для установленых соединений. >allow tcp from <myIP> to any 80 setup #разрешение на установку соединенния. Комбинация используется для увеличения скорости работы firewall-а. Второе правило срабатывает раз(при соединении), а остальные пакеты идут через первое(которое стоит где-то в начале списка).Правила обрабатываются последовательно(вот и выиграш во времени) > > > >allow tcp from <myIP> to any 80 #разрешение всех пакетов от тебя на чужой 80 порт >allow tcp from any 80 to <myIP> tcpflags ack #разрешение всех пакетов с 80 порта на myIP с флагом потверждения соединения. Не разрешает(но это может позволить другое правило) установку соединения from any 80 то myIP. На мой взгляд, особого влияния на безопастность между ними нет.В случае правильной настройки остальных правил(Запрещаем все, разрешаем необходимое). Первый вариант на мой взгляд затрудняет учет трафика через правила ipfw. Это только мое мнение, я не эксперт в этой области. Может кто-то скажет конкретнее.
	Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	2. "RE: затруднение с ipfw "
	Сообщение от PJ on 15-Ноя-02, 11:06 (MSK)
	allow tcp from any 80 to <myIP> tcpflags ack #разрешение всех пакетов с 80 порта на myIP с флагом потверждения соединения. Не разрешает(но это может позволить другое правило) установку соединения from any 80 то myIP. Почему не разрешает? флаг ack при ответе удаленного сервера именно что выставляется (взято из Р.Зиглер "Брандмауэры в Линукс").
		Рекомендовать в FAQ \| Cообщить модератору \| Наверх