[FUGSPBR] IPFW Dinamico

Ronan Lucio ronan em melim.com.br
Qui Ago 9 09:43:11 BRT 2001


> > As regras keep-state funcionam de forma parecida, porém elas
> > não baseiam-se no bit identificador, ou seja, a regra que aceita o
> > primeiro tcp-SIN, você acrescenta o setup keep-state, e no
> > lugar do allow from any to any estabilished, você substitui por
> > check-state
> > deny tcp from any to any estabilished.
> >
>
> Ok, a minha pergunta eh, qual a vantagem que eu terei com isso ?
> E porque deny no check-state ?

A vantagem é que este tipo de regra minimiza ataques DoS de flood
TCP-SIN pois as regras são dinamicas e tem um TTL.

O check-state é para verificar anteriormente se o pacote é referente
a alguma regra dinamica, ai ele ja aplica a regra não precisando
passar por todas as regras... ganha desempenho no firewall.
Substitui o estabilished.

[ ]´s

Ronan Lucio
Melim Internet Provider


----
Para sair da lista envie um e-mail para majordomo em fugspbr.org
com as palavras "unsubscribe fugspbr" no corpo da mensagem.



Mais detalhes sobre a lista de discussão freebsd