Легенда:
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Если задача файрвола не состоит в том, чтобы защищенные... 16.11.05 11:36 Число просмотров: 3446
Автор: Kuzmich Статус: Незарегистрированный пользователь
|
> Извиняйте, если такая тема уже обсуждалась. Но вопрос для > меня остается открытым. > Во многих мануалах указывается на правило "add pass tcp > from any to any established", мол установленные соединения > фильтровать смысла нет, поэтому и пропускаем их не > задумываясь. Однако, насколько я понимаю, ipfw определяет в > качестве establised пакеты с установленными SYN & ACK. > Дак вот вопрос, не может ли служить подобное правило, > дыркой в файрволе, ведь что мешает злоумышленнику > сформировать пакет вручную... Вопрос тем актуальней, что > использование такого правила все-таки действительно > оптимизирует определение правил.
Если задача файрвола не состоит в том, чтобы защищенные файрволом клиенты не могли куда-то добраться (например, до ICQ), то established практически безопасен... и быстр!
В случае, если стоит allow tcp from any to any established юзер за файрволом (или ТРОЯН!!!), имея сервер еще где-то в интернете, может установить vpn-соединение с этм сервером, используя в качестве транспорта поддельные tcp-пакеты.
|
|
|