On Wed, 2006-02-22 at 15:17 +0100, Nemeth Gyorgy wrote:

A proxynál, ha a túloldal nem válaszol, a kliens - ellentétben a közvetlen kapcsolattal - azt látja, hogy a kapcsolat felépül (megkapja a syn/ack csomagot), majd hirtelen lebont (fin).

Megoldható-e valahogy, hogy a tűzfal csak akkor küldjön syn/ack-t, ha a serveroldalról is kapott?

a kerdes jo :) de felreteve a trefat, jelenleg nem megoldhato, ehhez kernel tamogatas kellene, valamikor regen volt erre patch, viszont _ovatosan_ kell eljarni, a tuzfal DoS-olasa trivialissa valik, mivel egyetlen egy csomagra (SYN) el kell, hogy induljon egy proxy peldany. A proxy indulas + a szerver oldalra valo bekapcsolodas pedig joval eroforrasigenyesebb, mint egy (akar hamis forras IP-rol erkezo) SYN elkuldese. Ezen kivul problema lehet, hogy a proxyk gyakran nem rogton kapcsolodnak a szerverhez, hanem az elso keres beolvasasa utan (pl. HTTP), igy hiaba indulna el a proxy, az elso keres beolvasasaig nem tudja eldonteni, hogy ACK-ot vagy RST-t kuldjon-e vissza. -- Bazsi