The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Построение iptables правил с учетом состояния TCP соединения

05.01.2005 16:12

В статье "Linux stateful firewall design" кратко резюмируются основные приемы использования iptables, с оглядкой на учет текущего состояния соединения (-m state --state ESTABLISHED).

  1. Главная ссылка к новости (http://www.linuxexposed.com/in...)
  2. OpenNews: Новый модуль для блокирования по совпадению строковой маски в iptables
  3. OpenNews: Проверка работоспособности пакетного фильтра
  4. OpenNews: Комплект QoS и Netfilter патчей для Linux ядра 2.6.x
  5. OpenNews: Скрытые возможности Iptables
  6. Руководство по Iptables
Лицензия: CC-BY
Тип: английский / Практикум
Короткая ссылка: https://opennet.ru/4874-iptables
Ключевые слова: iptables, tcp, linux, firewall
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (7) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, robin zlobin (?), 19:54, 06/01/2005 [ответить]  
  • +/
    И это пишет CEO Gentoo...
     
  • 1.2, Moralez (??), 07:27, 09/01/2005 [ответить]  
  • +/
    Интересно, почему нетфильтер до сих пор не умеет что-то аналогичное BSD-шному keep-state? Неужели считают ненужным? :о( IMHO, намного лучше древнего варианта с NEW + RELATED,ESTABLISHED :-( Или ошибаюсь?
     
     
  • 2.3, poige (??), 10:14, 10/01/2005 [^] [^^] [^^^] [ответить]  
  • +/
       state
           This module, when combined with connection tracking, allows access to  the  connec-
           tion tracking state for this packet.

           --state state
                  Where  state  is  a  comma separated list of the connection states to match.
                  Possible states are INVALID meaning that the packet is  associated  with  no
                  known  connection,  ESTABLISHED meaning that the packet is associated with a
                  connection which has seen packets in both directions, NEW meaning  that  the
                  packet  has started a new connection, or otherwise associated with a connec-
                  tion which has not seen packets in both directions, and RELATED meaning that
                  the  packet is starting a new connection, but is associated with an existing
                  connection, such as an FTP data transfer, or an ICMP error.

    /poige

     
     
  • 3.4, Moralez (??), 07:21, 11/01/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Пожалуйста, прочитайте мой вопрос ещё несколько раз! :-(
     
     
  • 4.5, Mr.Uef (??), 12:25, 11/01/2005 [^] [^^] [^^^] [ответить]  
  • +/
    >Пожалуйста, прочитайте мой вопрос ещё несколько раз! :-(

    А чем keep-state отличается от ESTABLISHED,RELATED?

     
  • 4.6, poige (??), 15:19, 11/01/2005 [^] [^^] [^^^] [ответить]  
  • +/
    ок, перечитываю еще 1 (один) раз.

    >  Интересно, почему нетфильтер до сих пор не умеет что-то аналогичное BSD-шному keep-state?

    потом набираю linux firewall keep state в google:

      http://www.google.com/search?q=linux+firewall+keep+state

    и недоуменно смотрю на https://www.opennet.ru/openforum/vsluhforumID3/4897.html#2

    еще скажу, что keep state это вовсе не BSD'шное, а скорее ipfilter'ское. Причем появилось там оно даже не by Darren Reed: "
    ...
        JA: How much of the pf implementation is based on other packet filters?
        Daniel Hartmeier: The stateful connection tracking is based directly on Guido van Rooij's work (which is also the basis for IPFilter).
    ..."

    (Guido van Rooij)

    P. S. Мне снова что-нть перечитать? У меня полное впечатление, что я таки более осведомлен. :-)

    /poige

     
     
  • 5.7, poige (??), 16:18, 11/01/2005 [^] [^^] [^^^] [ответить]  
  • +/
    Кстати, если имелся в виду FreeBSD's ipfw с его "keep-state" (а не ipfilter, с его синтаксисом "keep state"), то ничего особо не меняется:

    > 14:17:38 2000 UTC (4 years, 11 months ago) by luigi
    > Changes since 1.127: +451 -22 lines
    > Diff to previous 1.127 (colored)
    >
    > Support for stateful (dynamic) ipfw rules. They are very
    --^----^----^----^----^----^----^----^--
    > similar to ipfilter's keep-state.
    --^----^----^----^----^----^--
    >
    > Look at the updated ipfw(8) manpage for details.

    P. S. Мне, как только я увидел, понравился BSDi's ipfw с синтаксисом типа:

    tcp && srcaddr(192.168.1.25) && dstport(service(http/tcp)) {
            forcelocal;
            accept;
    }

    и пр..

    Если кому интересно, вот здесь можно прочитать:

      http://www.kabinet.or.jp/cgi-bin/bsdi-man?ipfw

    подробнее.

    /poige
    --
    http://www.i.morning.ru/~poige/

     
     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Спонсоры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2022 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру