On Tue, 8 Jan 2002, Valentin Nechayev wrote:
> Date: Tue, 8 Jan 2002 12:06:02 +0200
> From: Valentin Nechayev <netch@lucky.net>
> Reply-To: inet-admins@info.east.ru
> To: inet-admins@info.east.ru
> Subject: Re: [inet-admins] acl ... established?
>
> Tue, Jan 08, 2002 at 12:35:31, dv wrote about "Re: [inet-admins] acl ... established?":
>
> > при acl, вида:
> > permit tcp any any established
> > deny tcp any host myhost eq verysecureport
> > ...
> >
> > Я смогу послать снаружи на myhost:verysecureport tcp пакеты с признаком
> > established. В случа, если established будет в конце acl - не смогу.
>
> Пакет типа established с незарегистрированным соединением просто дропнется
> (возможно, вызвав RST) и никаких проблем, кроме трафика в его объеме
> и объеме вероятного ответа, и ресурсов на отработку оных, создать не должен.
Ага.. Если это не кривофрагментированный пакет, а за ACL - старый 95 мастдай..
teardrop помним?
Ну и тд.
>
> Есть ряд ситуаций, когда правило с established действительно нужно
> и действительно должно быть одним из первых, до запрета портов по списку
> (или, наоборот, разрешения по списку). Чаще всего это ситуация, когда
> разрешены любые исходящие, но ограниченный набор входящих.
> С проблемами от established правила впереди при этом приходится
> мириться, тем более что они очень маловероятны.
Так кто бы спорил.. В каждом конкретном случае надо думать.. Если ты хочешь
разрешить установку соединений с myhost:myport наружу, при этом запретив
соединения снаружи на myhost:myport, то деваться некуда..
Dmitry.
=============================================================================
"inet-admins" Internet access mailing list. Maintained by East Connection ISP.
Mail "unsubscribe inet-admins" to Majordomo@info.east.ru if you want to quit.
Archive is accessible on
