ipfw und keep-state

D

D.Mon

Member
Hallo zusammen,

ich verstehe die Sache mit "keep-state" und check-state" in der ipfw nur so halb und würde das gerne ganz verstehe.
Mit der Suche habe ich leider zu viele Treffer, die mich aber zum großen Teil nicht wirklich weiterbringen.

Kann das mal jemand erklären oder mich auf eine Seite verweisen wo das erklärt wird.
Die man-Page habe ich natürlioch gelesen, aber so ganz klar geworden, wie man das richtig einsetzt, ist mir das noch nicht.

Vielen Dank
D.Mon
 
D.Mon schrieb:
Hallo zusammen,

ich verstehe die Sache mit "keep-state" und check-state" in der ipfw nur so halb und würde das gerne ganz verstehe.
Mit der Suche habe ich leider zu viele Treffer, die mich aber zum großen Teil nicht wirklich weiterbringen.

Kann das mal jemand erklären oder mich auf eine Seite verweisen wo das erklärt wird.
Die man-Page habe ich natürlioch gelesen, aber so ganz klar geworden, wie man das richtig einsetzt, ist mir das noch nicht.
Zum Vergrößern anklicken....
Wenn du eine Regel mit dem Schlüsselwort keep-state versiehst, dann merkt sich der Paketfilter die IP und den Port des Absenders und Empfängers des Pakets und kann anhand dieser Informationen weitere Pakete identifizieren, die zu dieser Verbindung gehören.

Code: 
add allow all from any to me ssh setup keep-state
Diese Regel lässt beispielsweise zunächst nur das verbindungsaufbauende, erste Pakete an Port 22 zu und merkt sich, dass damit eine Verbindung aufgebaut werden soll.

Code: 
add allow check-state
Diese Regel erlaubt alle weiteren Pakete, sowohl eingehend als auch ausgehend, die zu irgendeiner Verbindung gehören, die mit keep-state eingeleitet wurde.

Wenn eine TCP-Verbindung beendet wurde, dann lässt die check-state-Regel keine weiteren Folgepakete mehr zu.

Das ganze funktioniert auch mit dem zustandslosen UDP-Protokoll, wo sich nicht feststellen lässt, wann eine Verbindung beendet ist. Eine Unterhaltung zwischen zwei Hosts über UDP gilt für den Paketfilter mit keep-state/check-state als beendet, wenn innerhalb eines bestimmten Zeitrahmens kein Folgepaket mehr eingetroffen ist bzw. abgeschickt wurde.

Gruß Björn
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben