Tue, Jan 08, 2002 at 12:35:31, dv wrote about "Re: [inet-admins] acl ... established?":
> при acl, вида:
> permit tcp any any established
> deny tcp any host myhost eq verysecureport
> ...
>
> Я смогу послать снаружи на myhost:verysecureport tcp пакеты с признаком
> established. В случа, если established будет в конце acl - не смогу.
Пакет типа established с незарегистрированным соединением просто дропнется
(возможно, вызвав RST) и никаких проблем, кроме трафика в его объеме
и объеме вероятного ответа, и ресурсов на отработку оных, создать не должен.
Есть ряд ситуаций, когда правило с established действительно нужно
и действительно должно быть одним из первых, до запрета портов по списку
(или, наоборот, разрешения по списку). Чаще всего это ситуация, когда
разрешены любые исходящие, но ограниченный набор входящих.
С проблемами от established правила впереди при этом приходится
мириться, тем более что они очень маловероятны.
/netch
=============================================================================
"inet-admins" Internet access mailing list. Maintained by East Connection ISP.
Mail "unsubscribe inet-admins" to Majordomo@info.east.ru if you want to quit.
Archive is accessible on
