* Simon Morvan - 31-01-2013 à 15h50: > Le 31/01/2013 15:44, Christophe Baegert a écrit : > > Le 31/01/2013 15:41, Antoine Durant a écrit : > >> Donc en gros pas de firewall sur un routeur, mais quelle protection > >> est-il possible de mettre en place sans forcément plomber le serveur ? > > > > Si, le firewall c'est bon sans le conntrack, mais c'est moins pratique, > > forcément... > Cela dit, avec conntrack (sous linux, ou 'keep state' sous pf/openbsd) > c'est pénible en cas de routage asymétrique (non rare dans un contexte > de routeur BGP).
Je confirme, avec OpenBSD c'est même particulièrement pénible. - avec keep state, asymétrie impossible - avec no state, déjà eu des surprises au niveau du window scaling sur du routing asymétrique. - avec sloppy state, tout va bien, mais ça mange des states comme pour rigoler; à voir en jouant avec 'set timeout' pour trouver un équilibre. D'ailleurs si sur la liste il y a des expériences avec OpenBSD/pf et du routing asymétrique, je suis intéressé d'avoir leur retour ;) -- Rémi Laurent Phone: +352 26 10 30 61 General Support: supp...@conostix.com GPG FP: 27F4 6810 2B0E 1AA0 CDAE 7C7B 3DC9 085A 0FA0 0601
signature.asc
Description: Digital signature