keep-state или established?
Добавлено: 2008-11-10 14:12:54
Разбираюсь с настройкой роутера freebsd 7.0, ipfw и nat.
Как обычно, надо не только открывать соединения, но и получать на них ответы. Соотв. как я понял есть 2 пути: либо использовать "allow all established" по принципу "если соединение установлено, значит его кто-то установил", либо для каждого разрешающего правила добавлять keep-state. Вопрос в том, что лучше и почему?
Мне больше нравится вариант с keep-state: established пропускает все пакеты с установленным флагом, а keep-state разрешает пакеты только определенной сессии. Плюс трафик по каждому правилу показывает реально переданный объем данных, а не только факт установления соединения. При этом вроде бы хорошо обрабатываются даже UDP/ICMP-сессии.
Однако вариант с keep-state гораздо реже рассматривается (вроде бы он появился только в последних версиях?)
Вот хотел узнать, нет ли каких проблем с keep-state: слишком большая нагрузка на процессор, некорректная работа с сессиями, еще что-нибудь?
Как обычно, надо не только открывать соединения, но и получать на них ответы. Соотв. как я понял есть 2 пути: либо использовать "allow all established" по принципу "если соединение установлено, значит его кто-то установил", либо для каждого разрешающего правила добавлять keep-state. Вопрос в том, что лучше и почему?
Мне больше нравится вариант с keep-state: established пропускает все пакеты с установленным флагом, а keep-state разрешает пакеты только определенной сессии. Плюс трафик по каждому правилу показывает реально переданный объем данных, а не только факт установления соединения. При этом вроде бы хорошо обрабатываются даже UDP/ICMP-сессии.
Однако вариант с keep-state гораздо реже рассматривается (вроде бы он появился только в последних версиях?)
Вот хотел узнать, нет ли каких проблем с keep-state: слишком большая нагрузка на процессор, некорректная работа с сессиями, еще что-нибудь?