Navigation

    Netgate Discussion Forum
    • Register
    • Login
    • Search
    • Categories
    • Recent
    • Tags
    • Popular
    • Users
    • Search

    Возможно ли в Firewall Pfsense аналог команды ESTABLISHED?

    Russian
    2
    4
    310
    Loading More Posts
    • Oldest to Newest
    • Newest to Oldest
    • Most Votes
    Reply
    • Reply as topic
    Log in to reply
    This topic has been deleted. Only users with topic management privileges can see it.
    • K
      kudrik_tt last edited by

      Здравствуйте, возможно ли в в ferewall'е pfsense настроить аналог команды established, или только точечное закрытие портов на внешнем интерфейсе? Спасибо за ответ!!

      1 Reply Last reply Reply Quote 0
      • K
        Konstanti last edited by

        Доброго вечера
        Попробую ответить на Ваш вопрос цитатой из документации на PF

        Хранение состояния соединений
        Одной из важных возможностей пакетного фильтра является "хранение состояния соединений" или "проверка состояния соединений". Проверка состояния соединений возможна благодаря способности PF следить за состоянием или развитием сетевого соединения. Храня информацию о каждом соединении в таблице состояний, PF способен быстро определить принадлежит ли проходящий через брандмауэр пакет уже установившемуся соединению. Если это так, то он пройдёт через брандмауэр без проверки правилами.
        Хранение состояний имеет много преимуществ, включая упрощение правил и улучшенное выполнение фильтрации пакетов. PF способен распознавать пакеты движущиеся в обоих направлениях, это означает, что писать правило пропускающее обратный трафик нет необходимости. И поскольку пакеты соответствующие установленному соединению не проходят проверку правилами, время которое PF тратит на обработку этих пакетов существенно меньше.

        1 Reply Last reply Reply Quote 1
        • K
          Konstanti last edited by

          Когда правило создаёт стейт(запись в таблице состояний), первый пакет соответствующий правилу создаёт "state" между отправителем и принимающим. Теперь, не только пакеты идущие от отправителя к получателю соответствуют состоянию(state) и не проверяются правилами, но тоже самое происходит и с пакетами идущими от получателя к отправителю.

          Начиная с OpenBSD 4.1 все фильтрующие правила автоматически создают state запись когда пакет соответствует правилу. В более ранних версиях OpenBSD в правиле фильтрации должна была быть явно указана опция keep state.

          Пример использования OpenBSD 4.1 и более поздних версий:

          pass out on fxp0 proto tcp from any to any
          Пример использования OpenBSD 4.0 и более ранних версий:

          pass out on fxp0 proto tcp from any to any keep state
          Эти правила разрешают любой исходящий трафик на интерфейсе fxp0 и также позволяют пройти через брандмауэр ответному трафику. Хранение состояний является полезным свойством и его использование значительно улучшает производительность брандмауэра, поскольку поиск установившихся соединений значительно быстрее чем пропуск пакета через правила фильтрации.

          1 Reply Last reply Reply Quote 0
          • K
            kudrik_tt last edited by

            Огромное спасибо, всегда знал что PfSense лучше всех!!!

            1 Reply Last reply Reply Quote 0
            • First post
              Last post