Replying to Valentin Nechayev:
> Пакет типа established с незарегистрированным соединением просто дропнется
> (возможно, вызвав RST) и никаких проблем, кроме трафика в его объеме
> и объеме вероятного ответа, и ресурсов на отработку оных, создать не должен.
А как ведёт себя циска, обрабатывая established, при включённом netflow ?
она смотрит netflow cache (conntrack) или только флаги ?
> Есть ряд ситуаций, когда правило с established действительно нужно
> и действительно должно быть одним из первых, до запрета портов по списку
> (или, наоборот, разрешения по списку). Чаще всего это ситуация, когда
> разрешены любые исходящие, но ограниченный набор входящих.
> С проблемами от established правила впереди при этом приходится
> мириться, тем более что они очень маловероятны.
На самом деле стандартный метод при настройке iptables (netfilter)
файрволлов - класть в начало -j ACCEPT -m state --state ESTABLISHED,RELATED
но здесь мы ориентируемся не на флаг в пакете, а на модуль ip_conntrack
--
Paul P 'Stingray' Komkoff 'Greatest' Jr // (icq)23200764 // (irc)Spacebar
PPKJ1-RIPE // (smtp)i@stingr.net // (http)stingr.net // (pgp)0xA4B4ECA4
=============================================================================
"inet-admins" Internet access mailing list. Maintained by East Connection ISP.
Mail "unsubscribe inet-admins" to Majordomo@info.east.ru if you want to quit.
Archive is accessible on
