keep-state или established?

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
iltmpz
ефрейтор
Сообщения: 58
Зарегистрирован: 2008-11-10 13:10:56

keep-state или established?

Непрочитанное сообщение iltmpz » 2008-11-10 14:12:54

Разбираюсь с настройкой роутера freebsd 7.0, ipfw и nat.
Как обычно, надо не только открывать соединения, но и получать на них ответы. Соотв. как я понял есть 2 пути: либо использовать "allow all established" по принципу "если соединение установлено, значит его кто-то установил", либо для каждого разрешающего правила добавлять keep-state. Вопрос в том, что лучше и почему?

Мне больше нравится вариант с keep-state: established пропускает все пакеты с установленным флагом, а keep-state разрешает пакеты только определенной сессии. Плюс трафик по каждому правилу показывает реально переданный объем данных, а не только факт установления соединения. При этом вроде бы хорошо обрабатываются даже UDP/ICMP-сессии.
Однако вариант с keep-state гораздо реже рассматривается (вроде бы он появился только в последних версиях?)

Вот хотел узнать, нет ли каких проблем с keep-state: слишком большая нагрузка на процессор, некорректная работа с сессиями, еще что-нибудь?

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
dikens3
подполковник
Сообщения: 4856
Зарегистрирован: 2006-09-06 16:24:08
Откуда: Нижний Новгород
Контактная информация:

Re: keep-state или established?

Непрочитанное сообщение dikens3 » 2008-11-10 14:33:11

1. По любому дольше работает фаер.
2. Количество динамически создаваемых цепочек не бесконечно. (keep-state создает/удаляет динамическое правило)
Лучше установить FreeBSD, чем потратить 30 лет на Linux'ы и выяснить какой из них хуже.

iltmpz
ефрейтор
Сообщения: 58
Зарегистрирован: 2008-11-10 13:10:56

Re: keep-state или established?

Непрочитанное сообщение iltmpz » 2008-11-10 15:37:05

Т.е. основной недостаток keep-state в снижении производительности?
А есть реальный опыт, стоит ли с ним связываться? Не знаю как оценить, хватит ли производительности сервера.

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: keep-state или established?

Непрочитанное сообщение schizoid » 2008-11-10 17:23:56

а по-моему наоборот, повышается производительность фаервола...
хотя фаервол != система, но все же
http://house.hcn-strela.ru/BSDCert/BSDA ... inspection
ядерный взрыв...смертельно красиво...жаль, что не вечно...

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: keep-state или established?

Непрочитанное сообщение paradox » 2008-11-10 17:28:36

ну если кипстеит не лепить на все что попало
то вполне все нормально

смысла в кипстеит для 80 проокола я невижу

вобще кипстеит делается для защиты от спуфинга и прочего
22 порт обычно актуален
остальное уже по сервисам
mysql или еще ченго нибудь
и то если сеть большая и есть что защищать

iltmpz
ефрейтор
Сообщения: 58
Зарегистрирован: 2008-11-10 13:10:56

Re: keep-state или established?

Непрочитанное сообщение iltmpz » 2008-11-10 17:52:16

сеть - 100 компов,
т.е. получается, наиболее загруженные порты (веб, почта) лучше пустить через established, а наиболее "интересные" keep-state'ом?

Хотя keep-state мне кажется имеет смысл использовать для простоты и наглядности правил файлволла, а так большого смысла нет - только лишние сложности и проблемы.

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: keep-state или established?

Непрочитанное сообщение paradox » 2008-11-10 17:59:25

кипстеит восновном для защиты секюрных портов
но и еще бывает юзают для упрощение фаервола