forum.opennet.ru - "keep-state vs check-state" (5)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"keep-state vs check-state"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"keep-state vs check-state"
Сообщение от baza (ok) on 28-Апр-09, 11:47
Всем привет. Прочитал ман и понял что правило созданное в ipfw является динамической, если в конце прописано keep-state. Так же понял что правило с keep-state имеет короткое время жизни и каждый проходящий пакет продолжает время жизни. Еще я понял что это делается в целях безопасности, но я не могу представить себе пример. Если знаете,дайте пожайлуста пример. И еще объясните пожайлуста зачем нужен check-state. А то прочитал про check-state и как-то не вполне понятно. Спасибо вам большое.
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

keep-state vs check-state, arachnid, 12:52 , 28-Апр-09, (1)
keep-state vs check-state, AdVv, 15:27 , 28-Апр-09, (2)

keep-state vs check-state, baza, 15:42 , 28-Апр-09, (3)

keep-state vs check-state, AdVv, 16:23 , 28-Апр-09, (4)

keep-state vs check-state, baza, 16:35 , 28-Апр-09, (5)

Сообщения по теме [Сортировка по времени | RSS]

1. "keep-state vs check-state"

Сообщение от arachnid (ok) on 28-Апр-09, 12:52

плюс - достаточно писать только одно правило вместо двух - например, разрешает ssh трафик с одного хоста и не прописывает исходящий трафик на этот хост - keep-state создаст правило для этой сессии в обе стороны
check-state - проверка пакетов на попадание в динамические списки в начале списка правил

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "keep-state vs check-state"

Сообщение от AdVv (??) on 28-Апр-09, 15:27

>Всем привет.
>Прочитал ман и понял что правило созданное в ipfw является динамической, если
>в конце прописано keep-state. Так же понял что правило с keep-state
>имеет короткое время жизни и каждый проходящий пакет продолжает время жизни.
>Еще я понял что это делается в целях безопасности, но я
>не могу представить себе пример. Если знаете,дайте пожайлуста пример.
>И еще объясните пожайлуста зачем нужен check-state. А то прочитал про check-state
>и как-то не вполне понятно.
>Спасибо вам большое.
Если в кратце работает это так:
Запрещаешь все входящие пакеты на внешнем интерфейсе. А для исходящих создаешь разрешающее правило с опцией keep-state. В результате, когда кто-то из твоей сети пытается соединиться с внешним хостом, его пакет попадает на разрешающее правило, и благодаря опции keep-state динамически создается правило для ответного входящего траффика, которое действует только для хоста с которым установлено соединение, и только пока это соединение активно. Как только соединение прерывается, исходящие пакеты прекращают попадать на keep-state правило и динамическое правило исчезает. Образно говоря, в твоей стенке открывается маленькое окошко, когда кто-то изнутри хочет поговорить с тем кто снаружи, и тут-же закрывается как только разговор окончен.
man ipfw
     If the ruleset includes one or more rules with the keep-state or limit
     option, then ipfw assumes a stateful behaviour, i.e., upon a match it
     will create dynamic rules matching the exact parameters (addresses and
     ports) of the matching packet.
     These dynamic rules, which have a limited lifetime, are checked at the
     first occurrence of a check-state, keep-state or limit rule, and are typ-
     ically used to open the firewall on-demand to legitimate traffic only.
     See the STATEFUL FIREWALL and EXAMPLES Sections below for more informa-
     tion on the stateful behaviour of ipfw.
Советуют посмотреть секции STATEFUL FIREWALL и EXAMPLES  ;).

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "keep-state vs check-state"

Сообщение от baza (ok) on 28-Апр-09, 15:42

Спасибо,очень хорошо объяснили.Теперь уж точно понял.
Можете дать ссылку на эту английскую статью???
Спасибо.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "keep-state vs check-state"

Сообщение от AdVv (??) on 28-Апр-09, 16:23

>Спасибо,очень хорошо объяснили.Теперь уж точно понял.
>Можете дать ссылку на эту английскую статью???
>Спасибо.
Наберите в консоли man ipfw
:)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "keep-state vs check-state"

Сообщение от baza (ok) on 28-Апр-09, 16:35

ok ;)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "keep-state vs check-state"
Сообщение от arachnid (ok) on 28-Апр-09, 12:52
плюс - достаточно писать только одно правило вместо двух - например, разрешает ssh трафик с одного хоста и не прописывает исходящий трафик на этот хост - keep-state создаст правило для этой сессии в обе стороны check-state - проверка пакетов на попадание в динамические списки в начале списка правил
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

2. "keep-state vs check-state"
Сообщение от AdVv (??) on 28-Апр-09, 15:27
>Всем привет. >Прочитал ман и понял что правило созданное в ipfw является динамической, если >в конце прописано keep-state. Так же понял что правило с keep-state >имеет короткое время жизни и каждый проходящий пакет продолжает время жизни. >Еще я понял что это делается в целях безопасности, но я >не могу представить себе пример. Если знаете,дайте пожайлуста пример. >И еще объясните пожайлуста зачем нужен check-state. А то прочитал про check-state >и как-то не вполне понятно. >Спасибо вам большое. Если в кратце работает это так: Запрещаешь все входящие пакеты на внешнем интерфейсе. А для исходящих создаешь разрешающее правило с опцией keep-state. В результате, когда кто-то из твоей сети пытается соединиться с внешним хостом, его пакет попадает на разрешающее правило, и благодаря опции keep-state динамически создается правило для ответного входящего траффика, которое действует только для хоста с которым установлено соединение, и только пока это соединение активно. Как только соединение прерывается, исходящие пакеты прекращают попадать на keep-state правило и динамическое правило исчезает. Образно говоря, в твоей стенке открывается маленькое окошко, когда кто-то изнутри хочет поговорить с тем кто снаружи, и тут-же закрывается как только разговор окончен. man ipfw If the ruleset includes one or more rules with the keep-state or limit option, then ipfw assumes a stateful behaviour, i.e., upon a match it will create dynamic rules matching the exact parameters (addresses and ports) of the matching packet. These dynamic rules, which have a limited lifetime, are checked at the first occurrence of a check-state, keep-state or limit rule, and are typ- ically used to open the firewall on-demand to legitimate traffic only. See the STATEFUL FIREWALL and EXAMPLES Sections below for more informa- tion on the stateful behaviour of ipfw. Советуют посмотреть секции STATEFUL FIREWALL и EXAMPLES ;).
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "keep-state vs check-state"
	Сообщение от baza (ok) on 28-Апр-09, 15:42
	Спасибо,очень хорошо объяснили.Теперь уж точно понял. Можете дать ссылку на эту английскую статью??? Спасибо.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "keep-state vs check-state"
	Сообщение от AdVv (??) on 28-Апр-09, 16:23
	>Спасибо,очень хорошо объяснили.Теперь уж точно понял. >Можете дать ссылку на эту английскую статью??? >Спасибо. Наберите в консоли man ipfw :)
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "keep-state vs check-state"
	Сообщение от baza (ok) on 28-Апр-09, 16:35
	ok ;)
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]