| KIV/PD (Přenos dat), Filtrování paketů |
Většinou nadstavba paketového filtru. Hlídá všechny platné tcp spojení a jejich porty, které ukládá do tabulky. V případě, že dorazí paket, který neodpovídá žádnému platnému spojení uplatní se na něj činnost definovaná politikou (zahození, předání ...).
Jádra řady 2.4 přicházejí tedy s koncepčně novým přístupem, kdy při filtrování berou v úvahu nejen informace obsažené v záhlaví zkoumaného datagramu, ale dokáží na něj nahlížet komplexně, v kontextu spojení, do kterého patří. Stavový firewall rozezná paket, který otevírá nové spojení, od paketů, které tuto komunikaci realizují, a díky tomu můžeme precizněji filtrovat datové toky.
Výhody stavového filtru
Stavový firewall přináší značné zjednodušení filtrovacích pravidel oproti dobám, kdy jsme pomocí ipchains museli brát v úvahu různé kombinace adres, vysokých portů a SYN flagů. Nyní tedy můžeme, díky klasifikaci paketů, imlicitně povolit, aby firewallem protékaly pakety patřící k již navázaným spojením (ESTABLISHED), a omezení stanovujeme na úrovni navázání spojení.
A jaké jsou nevýhody?
Jedinou větší nevýhodou jsou vyšší nároky na hardware firewallu. V paměti se musí totiž udržovat stavové informace o všech spojeních.
Pokud chcete vědět více, tak si každopádně doporučuji přečíst stránku Linux 2.4 Packet Filtering HOWTO, kterou najdete na domovských stránkách http://netfilter.kernelnotes.org/unreliable-guides/packet-filtering-HOWTO/index.html
|
(c) 2003 Pavel Tuček tuca@kiv.zcu.cz |
|