Re: stateful Firewall und Timeouts

Hallochen.

On Mon, Jul 08, 2002 at 01:37:46PM +0200, Christian Lackas wrote:
> net.inet.ip.fw.dyn_ack_lifetime: 300
[...]
> (das sollten die Defaults meines FreeBSD 4.6-STABLE 5.7.2002 sein).
> Kann ich da jetzt einfach »dyn_syn_lifetime« erhöhen? Bei anderen
> Verbindungen (HTTP, FTP, POP, ...). Kann das ja ein vernünftiger Wert
> sein. Und ich will auch nicht, dass die Liste mit den dynamischen Regeln
> überläuft.

Obiges ist der Wert (der aber 5 Minuten steht!), den Du erhöhen
möchtest. Weiterhin möchtest Du die dynamischen Rules natürlich nur
mit setup-packets eintragen:

[...]
add check-state
add reset tcp from any to any established
add allow tcp from any t XXX.XXX.XXX.XXX 22 setup keep-state
[...]

Damit funktioniert das bei mir seit geraumer Zeit klaglos, über diverse
FreeBSD-Versionen hinweg bis hin zu aktuell 4.6-STABLE von letzter Woche
irgendwann.

Ich vermute Deinen Fehler in den Rules: Du triggerst nicht auf setup und
machst daher kein deny für established Pakete vorher. Folglich triggerst
Du mit den Paketen der established Connections jeweils wieder neu die
dynamische Regel. Bei established connection durchläuft er nicht mehr
den Verbindungsaufbau (hat er ja schon hinter sich), also bleibt das
dann irgendwo immer bei den 20 Sekunden von dyn_syn_lifetime hängen.

- Olli

Disclaimer: Keine Diskussion, warum ich hier Connections
            resette und nicht denye, ich habe dafür meine Gründe und
            das soll jeder für seinen Fall entscheiden - das ist hier
            ein Beispiel und keine allgemeine Empfehlung!

-- 
| Oliver Brandmueller | Offenbacher Str. 1  | Germany       D-14197 Berlin |
| Fon +49-172-3130856 | Fax +49-172-3145027 | WWW:   http://the.addict.de/ |
|               Ich bin das Internet. Sowahr ich Gott helfe.               |
| Eine gewerbliche Nutzung aller enthaltenen Adressen ist nicht gestattet! |
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message