Re: IPFW + me

From: Bernd Walter <ticso(at)cicely8.cicely.de>
Date: Fri, 20 Sep 2002 11:53:56 +0200

On Fri, Sep 20, 2002 at 09:24:36AM +0200, Peter Ross wrote:
> Hi,
>
> Bernd Walter schrieb:
>
> > ${fwcmd} add 10 check-state
> > ${fwcmd} add 200 pass tcp from me to any 80 out via ${oif} keep-state
>
> Spricht etwas dagegen, stattdessen
>
> $fwcmd add allow tcp from ${intern_ip} to any 80 setup
> $fwcmd add pass tcp from any to any established
>
> zu verwenden? Ich vermute, das wuerde effizienter sein, weil keine
> dynamischen Regeln erzeugt werden.

Kannst du machen, aber das schützt dann auch nicht ganz so gut.
Außerdem ist der Overhead für die dynamischen Regeln nicht untragbar
hoch, solange keine zigtausende Einträge existieren.

-- 
B.Walter              COSMO-Project         http://www.cosmo-project.de
ticso(at)cicely.de         Usergroup           info(at)cosmo-project.de
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Fri 20 Sep 2002 - 11:54:17 CEST

search this site