アカウント名:
パスワード:
IP Filterの場合ですが、
UDP疑似セッション: udpに対するkeep state指定のこと?
セッションテーブルに基づくTCPの確立した通信のチェック: セッションテーブルってTCPのレベルのこと? keep state指定のこと?
許可と拒否のログ ログ自体が記録だと思うんですが、それはさておき可能です。
非passiveなFTPの許可: NATのftp proxyを用意すればOKかな。
スプーフィングの検出: 機能の意味がよ
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy
商用ファイアウォールとの比較 (スコア:3, 興味深い)
昔は ipfw のルールをガリガリ書いたりしましたが、UDP 関連のルールが煩雑になるし、スプーフィング対策でインタフェースレベルまでフィルタを記述するとテストが大変だったりします。
だから、以下のような機能を実装して
Re: 商用ファイアウォールとの比較 (スコア:1)
IP Filterの場合ですが、
UDP疑似セッション:
udpに対するkeep state指定のこと?
セッションテーブルに基づくTCPの確立した通信のチェック:
セッションテーブルってTCPのレベルのこと? keep state指定のこと?
許可と拒否のログ
ログ自体が記録だと思うんですが、それはさておき可能です。
非passiveなFTPの許可:
NATのftp proxyを用意すればOKかな。
スプーフィングの検出:
機能の意味がよ
Re: 商用ファイアウォールとの比較 (スコア:2, 参考になる)
セッションテーブルと疑似セッションはほぼ keep-state で実現しているとは思います。ただ、ipfw しか知りませんが、割と皆さんやっている established な通信は ALL ALL で許可は開けすぎなので、keep-state するルールとセットで establlished な通信は通過させるルールが必要になり全部 2 行ずつ書くことになり面倒。しかも性能的に established を許可する行は上の方に持って行く必要がある
Re: 商用ファイアウォールとの比較 (スコア:2)
コネクション確立パケットを通せば、あとはセッションテーブル
に基づいてよきにはからってくれますよ。また、こちらは聞いた
だけなので不確かですが、シーケンスナンバーとかもしっかり
見ているみたいです。ただ、単体ではアプリケーション層まで
はカバーしてくれないので、適宜Proxyと組み合わせる必要が
ありますね(FTP等)。