 |
|
|
|
| Autor |
Nachricht |
xalpha
Anmeldungsdatum: 21.02.2006
Beiträge: 17
|
 Verfasst am:
Mi 17 Okt, 2007 13:17 |
  |
|
Hallo,
kann mir jemand sagen, was genau der Stateful Eintrag in der Regeltabelle bewirkt? Ich dachte mit dem Ausschalten wird für den Eintrag eventuell keine Zustandstabelle mehr geführt. Bei einer Deny-All Strategie wäre dann ja keine Internetverbindung mehr möglich, weil die Antworten aus dem Netz verworfen werden. Ich hab das jetzt mal ausprobiert, aber es funktioniert noch wunderbar. Im Refmanual habe ich leider uch nichts gefunden.
Danke!
Xalpha |
|
|
   |
|
Guest
|
| Verfasst am:
|
|
|
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4571
Wohnort: Aachen
|
| Verfasst am:
Mi 17 Okt, 2007 16:17 |
|
|
Hi xalpha
| Zitat:
|
|
kann mir jemand sagen, was genau der Stateful Eintrag in der Regeltabelle bewirkt?
|
der Eintrag bewirkt daß für eine Session keine Verbindungszustände mehr nachgehalten werden (SYN -> SYN/ACK -> ACK -> Protokollerkennung)
| Zitat:
|
|
Ich dachte mit dem Ausschalten wird für den Eintrag eventuell keine Zustandstabelle mehr geführt
|
Der Eintrag in der Verbindungsliste wird immer gemacht - er ist nötig, da das LANCOM letztendlich als "Layer 4 Switch" arbeitet.
| Zitat:
|
|
Bei einer Deny-All Strategie wäre dann ja keine Internetverbindung mehr möglich, weil die Antworten aus dem Netz verworfen werden
|
wie gesagt: es schaltet die Zustandsprüfung und automatische Protokollerkennung (z.B. für FTP) ab, degardiert die Firewall jedoch nicht zu einem Paketfilter.
Welche Sinn sollte es i.Ü. haben, Pakete in die eine Richtung durchzulassen, aber die Antworten zu verwerfen?
Gruß
Backslash |
|
|
|
|
xalpha
Anmeldungsdatum: 21.02.2006
Beiträge: 17
|
| Verfasst am:
Mi 17 Okt, 2007 16:32 |
|
|
Hallo Backslash,
danke für die Erklärung. Mein Experiment mit den Paketen nur in eine Richtung war nur dazu gedacht hauszufinden ob das so eine Art "Umschalter" stateful Firewall <-> Paketfilter ist.
Wenn ich das jetzt richtig verstanden habe ist das Einschalten von "stateful" für fast alles Anwendungen sinnvoll. Gibt es ein Szenario bei dem eine Abschaltung sinnvoll wäre?
Gruß
Xalpha |
|
|
|
|
backslash
Moderator
Anmeldungsdatum: 08.11.2004
Beiträge: 4571
Wohnort: Aachen
|
| Verfasst am:
Do 18 Okt, 2007 12:38 |
|
|
Hi xalpha
| Zitat:
|
|
Wenn ich das jetzt richtig verstanden habe ist das Einschalten von "stateful" für fast alles Anwendungen sinnvoll
|
ich würde eher sagen für alle...
| Zitat:
|
|
Gibt es ein Szenario bei dem eine Abschaltung sinnvoll wäre?
|
Nun ja, wenn aus irgendeinem Grund Anfragen und Antworten verschiedene Wege gehen, dann würde eine aktive Zustandsprüfung den Verbindungsaufbau verhindern...
Wie sinnvoll das Szenario auch sein mag, aber spätestens wenn man zwei Internetzugänge hat und sich mit der Konfiguration der zuständigen Router etwas verhaspelt, steht man ggf. vor dem Problem...
Obwohl: im Rahmen eines Loadbalancings kann das Ganze auch sinnvoll sein: über eine Leitung kommen die Anfragen rein und über n andere gehen die Antworten wieder raus...
Gruß
Backslash |
|
|
|
|
|
|
|
|
| |
|
|
