BL
keep-state обычно применяется для исходящих из безопасной зоны в опасную
Size: a a a
2020 April 04
VG
в линуксовом ихний аналог conntrack - по умолчанию вообще для всего
VG
может человек с линукса пришел, от того и спрашивает
KV
Продолжайте
KV
Нет я просто помню на PF там такой болячки нет и это типа скорость добавляло
KV
Вот и спросил
KV
Или может я что то путаю
VG
какой болячки нет? там вообще аж даже syn-proxy есть, который на себе будет сервер имитировать
KV
Ну типа он стейты создаёт позже видимо, а ipfw наверно рано
KV
И поэтому может упереться в размер таблицы
BL
таблица стейтов резиновая в ipfw
KV
Да конечно
KV
Как бы не так
VG
Ну типа он стейты создаёт позже видимо, а ipfw наверно рано
ни один из файрволов не может создать стейт позже
VG
всё, что они все могут - создать стейт сначала короткоживущим, пока соединение не станет полноценным
BL
Как бы не так
net.inet.ip.fw.dyn_max можно менять рантайм
KV
ну это понятно
KV
The dynamic rules facility is vulnerable to resource depletion from a SYN-flood attack и бла бла
BL
речь о насовывании изнутри безопасного периметра