Dear Matvey, > > >> задачи не стоит, поэтому читать я читал, но не более того. По п. 1 для > > >> начала нехило бы рассказать, что это за проверка, аналогичную которой > > >> надо делать, почему не надо копать в сторону кук, а главное - что, > > >> собственно, за задача решается - вполне возможно, тут она решается > > >> другим способом. > > > > MG> tcp syn proxy проверка валидности (досягаемости начального узла / > > MG> инструмент при проверке на спуф). > > > > Не понял... Насколько я представляю себе устройство современных NAT'ов, > > если к тебе прилетел TCP SYN, единственное, как ты можешь проверить > > досягаемость узла - это (вообще говоря, неоднократно) отправить обратно > > SYN+ACK и подождать, что пришлют в ответ - продолжение сессии, ICMP > > чего-нибудь-unreacheable, TCP RST или вообще проигнорируют. Причем > > отправить SYN+ACK может только тот сервис, который там висит - у > > файрвола этот номер не пройдет. > > ууу как все запущено. > вот как раз PF (synproxy) позволяет не тревожа сервис провести хендшейк и > после этого > (случае успеха) установить сессию к сервису и сбросить ее в стейт.
Я правильно помню, что PF работает в userspace? Тогда чем он защищеннее самого атакуемого сервиса? Да и на больших объемах userspace файрволлы идут в сад... -- With best regards, Vladyslav Solopchenko -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
