Subject: RE: Problem med IPFILTER Date: Wed, 1 Sep 2004 08:49:19 +0200 From: "Allan Wermuth" <none@alw--it-service.sdu.dk.lh.bsd-dk.dk> To: <none@bsd-dk--bsd-dk.dk.lh.bsd-dk.dk>
> -----Original Message-----
> From: owner-bsd-dk@hobbes.bsd-dk.dk
> [mailto:owner-bsd-dk@hobbes.bsd-dk.dk] On Behalf Of Erik Norgaard
> Sent: Wednesday, September 01, 2004 8:38 AM
> To: bsd-dk@bsd-dk.dk
> Subject: Re: Problem med IPFILTER
>
>
> Allan Wermuth wrote:
>
> > Når du i dit regelsæt bruger "keep state" sammen med udp, er det så
> > ikke en fejl? UDP er da stateless, ik'?
>
> Det er ikke en fejl, ip-filter holder øje med de udp pakker
> der sendes
> ud og hvis et svar kommer tilbage indenfor rimelig tid
> (normalt 1 minut)
> lukkes pakken ind. Det samme gælder icmp, og ip-filter er
> smart nok til
> at se at hvis det er en icmp-echo der går ud skal den forvente en
> icmp-echo-reply tilbage. Da udp ikke har nogen 'flag' kan man
> naturligvis ikke skrive flags S, som med tcp.
>
> Hvis du ikke har keep state, skal du åbne for pakker ind og
> det er noget
> værre rod at holde styr på.
>
> Tag et kig på ip-filter howto - jeg måtte selv læse den et
> par gange før
> jeg havde helt fat i det.
>
> Mvh Erik
>
Mange tak for hjælpen!
-Allan
This archive was generated by hypermail 2b30 : Wed 15 Nov 2006 - 18:24:43 CET