OpenForum RSS: keep-state vs check-state https://www.opennet.ru/openforum/vsluhforumID1/85074.html Всем привет.<br>Прочитал ман и понял что правило созданное в ipfw является динамической, если в конце прописано keep-state. Так же понял что правило с keep-state имеет короткое время жизни и каждый проходящий пакет продолжает время жизни. Еще я понял что это делается в целях безопасности, но я не могу представить себе пример. Если знаете,дайте пожайлуста пример.<br>И еще объясните пожайлуста зачем нужен check-state. А то прочитал про check-state и как-то не вполне понятно.<br>Спасибо вам большое. <br> keep-state vs check-state (baza) https://www.opennet.ru/openforum/vsluhforumID1/85074.html#5 Tue, 28 Apr 2009 12:35:00 GMT ok ;)<br> keep-state vs check-state (AdVv) https://www.opennet.ru/openforum/vsluhforumID1/85074.html#4 Tue, 28 Apr 2009 12:23:05 GMT &gt;Спасибо,очень хорошо объяснили.Теперь уж точно понял. <br>&gt;Можете дать ссылку на эту английскую статью??? <br>&gt;Спасибо. <br><br>Наберите в консоли man ipfw <br>:)<br> keep-state vs check-state (baza) https://www.opennet.ru/openforum/vsluhforumID1/85074.html#3 Tue, 28 Apr 2009 11:42:44 GMT Спасибо,очень хорошо объяснили.Теперь уж точно понял.<br>Можете дать ссылку на эту английскую статью???<br>Спасибо.<br> keep-state vs check-state (AdVv) https://www.opennet.ru/openforum/vsluhforumID1/85074.html#2 Tue, 28 Apr 2009 11:27:20 GMT &gt;Всем привет. <br>&gt;Прочитал ман и понял что правило созданное в ipfw является динамической, если <br>&gt;в конце прописано keep-state. Так же понял что правило с keep-state <br>&gt;имеет короткое время жизни и каждый проходящий пакет продолжает время жизни. <br>&gt;Еще я понял что это делается в целях безопасности, но я <br>&gt;не могу представить себе пример. Если знаете,дайте пожайлуста пример. <br>&gt;И еще объясните пожайлуста зачем нужен check-state. А то прочитал про check-state <br>&gt;и как-то не вполне понятно. <br>&gt;Спасибо вам большое. <br><br>Если в кратце работает это так:<br>Запрещаешь все входящие пакеты на внешнем интерфейсе. А для исходящих создаешь разрешающее правило с опцией keep-state. В результате, когда кто-то из твоей сети пытается соединиться с внешним хостом, его пакет попадает на разрешающее правило, и благодаря опции keep-state динамически создается правило для ответного входящего траффика, которое действует только для хоста с которым установлено соединение, и только пока это соединение активно. Как только соединение преры keep-state vs check-state (arachnid) https://www.opennet.ru/openforum/vsluhforumID1/85074.html#1 Tue, 28 Apr 2009 08:52:39 GMT плюс - достаточно писать только одно правило вместо двух - например, разрешает ssh трафик с одного хоста и не прописывает исходящий трафик на этот хост - keep-state создаст правило для этой сессии в обе стороны<br><br>check-state - проверка пакетов на попадание в динамические списки в начале списка правил<br>