Re: stateful Firewall und Timeouts

From: Bernd Walter <ticso(at)cicely5.cicely.de>
Date: Mon, 8 Jul 2002 14:57:22 +0200

On Mon, Jul 08, 2002 at 02:14:39PM +0200, Oliver Brandmueller wrote:
> Hallochen.
>
> On Mon, Jul 08, 2002 at 01:37:46PM +0200, Christian Lackas wrote:
> > net.inet.ip.fw.dyn_ack_lifetime: 300
> [...]
> > (das sollten die Defaults meines FreeBSD 4.6-STABLE 5.7.2002 sein).
> > Kann ich da jetzt einfach »dyn_syn_lifetime« erhöhen? Bei anderen
> > Verbindungen (HTTP, FTP, POP, ...). Kann das ja ein vernünftiger Wert
> > sein. Und ich will auch nicht, dass die Liste mit den dynamischen Regeln
> > überläuft.
>
> Obiges ist der Wert (der aber 5 Minuten steht!), den Du erhöhen

Genau.
An der dyn_syn Zeit wird man nicht drehen wollen, da es ein Timeout
beim Verbindungsaufbau wäre und dafür reicht der default allemal.
In der Praxis wird man bestenfalls die ack Zeit erhöhen wollen.
Wobei der Fall für ssh eigendlich bei einer richtigen Konfiguration
unbedeutend ist, da ssh ständig Packete zur Schlüsselaktualisierung
verschickt und somit die Regel immer wieder auffrischt.

> möchtest. Weiterhin möchtest Du die dynamischen Rules natürlich nur
> mit setup-packets eintragen:
>
> [...]
> add check-state
> add reset tcp from any to any established
> add allow tcp from any t XXX.XXX.XXX.XXX 22 setup keep-state
> [...]
>
> Damit funktioniert das bei mir seit geraumer Zeit klaglos, über diverse
> FreeBSD-Versionen hinweg bis hin zu aktuell 4.6-STABLE von letzter Woche
> irgendwann.
>
> Ich vermute Deinen Fehler in den Rules: Du triggerst nicht auf setup und
> machst daher kein deny für established Pakete vorher. Folglich triggerst
> Du mit den Paketen der established Connections jeweils wieder neu die
> dynamische Regel. Bei established connection durchläuft er nicht mehr
> den Verbindungsaufbau (hat er ja schon hinter sich), also bleibt das
> dann irgendwo immer bei den 20 Sekunden von dyn_syn_lifetime hängen.

Das vermute ich auch.
Die Goldene Regel sagt check-states ganz am Anfang sofort nach den
obligatorischen Antispoofingregeln.
Die Ausnahmen kann man an den Fingern abzählen.

> Disclaimer: Keine Diskussion, warum ich hier Connections
> resette und nicht denye, ich habe dafür meine Gründe und
> das soll jeder für seinen Fall entscheiden - das ist hier
> ein Beispiel und keine allgemeine Empfehlung!

Ja - z.B. als Workaround für die ganzen Idioten da draussen, die icmp
komplett sperren :(

-- 
B.Walter              COSMO-Project         http://www.cosmo-project.de
ticso(at)cicely.de         Usergroup           info(at)cosmo-project.de
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Mon 08 Jul 2002 - 14:57:34 CEST

search this site