> Ja, co by nahodny kolemjdouci nemajici dostatecne znalosti o konfiguraci > prvniho firewallu ani o siti jako takove reknu to, co rikam vzdycky - > vyhody, ktere statefull firewall prinasi (rizika, proti kterycm chrani) > typicky nevyvazuji rizika, ktera tato konfigurace do systemu vnasi sama > o sobe a typicky vysledny efekt stavoveho firewallu tak ja mam za > zaporny. Z toho duvodu bych se pro stavovy firewall nerozhodl a mel oba > nestavove ...
Moje prvotni uvaha zde byla takova, ze by prvni firewall mel filtrovat nestavove a propoustet dale jenom pakety pro vybrane sluzby. Mejme v DMZ web server a postovni server, tedy porty 80 a 25 tcp. A premyslel jsem, zda-li je rozumne pak v teto ceste jako druhy v rade postavit firewall, ktery ty porty 80 a 25 propustene prvnim nestavovym firewallem bude jeste dale kontrolovat, nyni jiz v rezimu stateful. Zda-li tedy takovy typ reseni je smysluplny, nebo jenom zbytecne redundantni. Nemam zatim z praktickeho provozu takove konfigurace vetsich zkusenosti ale rikal jsem si, kdyz uz stateful firewall byl zkonstruovan, jestli by tedy melo rozumny smysl jej v nejake takoveto kombinaci pouzit. Dekuji, Pepa. -- FreeBSD mailing list ([email protected]) http://www.freebsd.cz/listserv/listinfo/users-l
