ПРОЕКТЫ 


  АРХИВ 


Apache-Talk @lexa.ru 

Inet-Admins @info.east.ru 

Filmscanners @halftone.co.uk 

Security-alerts @yandex-team.ru 

nginx-ru @sysoev.ru 

  СТАТЬИ 


  ПЕРСОНАЛЬНОЕ 


  ПРОГРАММЫ 



ПИШИТЕ
ПИСЬМА












     АРХИВ :: Inet-Admins
Inet-Admins mailing list archive (inet-admins@info.east.ru)

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [inet-admins] acl ... established?



Replying to Valentin Nechayev:
> Пакет типа established с незарегистрированным соединением просто дропнется
> (возможно, вызвав RST) и никаких проблем, кроме трафика в его объеме
> и объеме вероятного ответа, и ресурсов на отработку оных, создать не должен.

А как ведёт себя циска, обрабатывая established, при включённом netflow ?
она смотрит netflow cache (conntrack) или только флаги ?

> Есть ряд ситуаций, когда правило с established действительно нужно
> и действительно должно быть одним из первых, до запрета портов по списку
> (или, наоборот, разрешения по списку). Чаще всего это ситуация, когда
> разрешены любые исходящие, но ограниченный набор входящих.
> С проблемами от established правила впереди при этом приходится
> мириться, тем более что они очень маловероятны.

На самом деле стандартный метод при настройке iptables (netfilter)
файрволлов - класть в начало -j ACCEPT -m state --state ESTABLISHED,RELATED

но здесь мы ориентируемся не на флаг в пакете, а на модуль ip_conntrack

-- 
Paul P 'Stingray' Komkoff 'Greatest' Jr // (icq)23200764 // (irc)Spacebar
  PPKJ1-RIPE // (smtp)i@stingr.net // (http)stingr.net // (pgp)0xA4B4ECA4

=============================================================================
"inet-admins" Internet access mailing list. Maintained by East Connection ISP.
Mail "unsubscribe inet-admins" to Majordomo@info.east.ru if you want to quit.
Archive is accessible on http://info.east.ru/rus/inetadm.html



 




Copyright © Lexa Software, 1996-2009.