Hallo,
kann mir jemand sagen, was genau der Stateful Eintrag in der Regeltabelle bewirkt? Ich dachte mit dem Ausschalten wird für den Eintrag eventuell keine Zustandstabelle mehr geführt. Bei einer Deny-All Strategie wäre dann ja keine Internetverbindung mehr möglich, weil die Antworten aus dem Netz verworfen werden. Ich hab das jetzt mal ausprobiert, aber es funktioniert noch wunderbar. Im Refmanual habe ich leider uch nichts gefunden.
Danke!
Xalpha
Stateful Eintrag in der Regeltabelle
Moderator: Lancom-Systems Moderatoren
Hi xalpha
Welche Sinn sollte es i.Ü. haben, Pakete in die eine Richtung durchzulassen, aber die Antworten zu verwerfen?
Gruß
Backslash
der Eintrag bewirkt daß für eine Session keine Verbindungszustände mehr nachgehalten werden (SYN -> SYN/ACK -> ACK -> Protokollerkennung)kann mir jemand sagen, was genau der Stateful Eintrag in der Regeltabelle bewirkt?
Der Eintrag in der Verbindungsliste wird immer gemacht - er ist nötig, da das LANCOM letztendlich als "Layer 4 Switch" arbeitet.Ich dachte mit dem Ausschalten wird für den Eintrag eventuell keine Zustandstabelle mehr geführt
wie gesagt: es schaltet die Zustandsprüfung und automatische Protokollerkennung (z.B. für FTP) ab, degardiert die Firewall jedoch nicht zu einem Paketfilter.Bei einer Deny-All Strategie wäre dann ja keine Internetverbindung mehr möglich, weil die Antworten aus dem Netz verworfen werden
Welche Sinn sollte es i.Ü. haben, Pakete in die eine Richtung durchzulassen, aber die Antworten zu verwerfen?
Gruß
Backslash
Hallo Backslash,
danke für die Erklärung. Mein Experiment mit den Paketen nur in eine Richtung war nur dazu gedacht hauszufinden ob das so eine Art "Umschalter" stateful Firewall <-> Paketfilter ist.
Wenn ich das jetzt richtig verstanden habe ist das Einschalten von "stateful" für fast alles Anwendungen sinnvoll. Gibt es ein Szenario bei dem eine Abschaltung sinnvoll wäre?
Gruß
Xalpha
danke für die Erklärung. Mein Experiment mit den Paketen nur in eine Richtung war nur dazu gedacht hauszufinden ob das so eine Art "Umschalter" stateful Firewall <-> Paketfilter ist.
Wenn ich das jetzt richtig verstanden habe ist das Einschalten von "stateful" für fast alles Anwendungen sinnvoll. Gibt es ein Szenario bei dem eine Abschaltung sinnvoll wäre?
Gruß
Xalpha
Hi xalpha
Wie sinnvoll das Szenario auch sein mag, aber spätestens wenn man zwei Internetzugänge hat und sich mit der Konfiguration der zuständigen Router etwas verhaspelt, steht man ggf. vor dem Problem...
Obwohl: im Rahmen eines Loadbalancings kann das Ganze auch sinnvoll sein: über eine Leitung kommen die Anfragen rein und über n andere gehen die Antworten wieder raus...
Gruß
Backslash
ich würde eher sagen für alle...Wenn ich das jetzt richtig verstanden habe ist das Einschalten von "stateful" für fast alles Anwendungen sinnvoll
Nun ja, wenn aus irgendeinem Grund Anfragen und Antworten verschiedene Wege gehen, dann würde eine aktive Zustandsprüfung den Verbindungsaufbau verhindern...Gibt es ein Szenario bei dem eine Abschaltung sinnvoll wäre?
Wie sinnvoll das Szenario auch sein mag, aber spätestens wenn man zwei Internetzugänge hat und sich mit der Konfiguration der zuständigen Router etwas verhaspelt, steht man ggf. vor dem Problem...
Obwohl: im Rahmen eines Loadbalancings kann das Ganze auch sinnvoll sein: über eine Leitung kommen die Anfragen rein und über n andere gehen die Antworten wieder raus...
Gruß
Backslash