Будет отбрасывание только пакетов SYN, улучшают или уменьшают производительность брандмауэра?
Можно достигнуть этого при помощи OpenLDAP smbk5pwd наложение.
Это наложение должно быть добавлено к Вашему slapd конфигурация. Затем любые изменения пароля через exop "Операция" пароля изменения также обновят Samba (и дополнительно Kerberos) пароли.
Можно просто настроить рабочие столы Ubuntu для использования exop операции изменения пароля через /etc/ldap.conf.
Имеется цель отбрасывать только пакеты syn, но это не (в первую очередь) производительность; это простой способ создать правило запрета по умолчанию, которое будет применяться к входящим соединениям, но не будет возвращать пакеты для исходящих соединений. Правило вроде этого:
deny tcp from any to any in setup
(обратите внимание, что «setup» - это сокращение от «tcpflags syn,! Ack») будет блокировать все входящие TCP-соединения (которые не были разрешены правилом с более высоким приоритетом).
Может быть на самом деле является аргументом в пользу производительности, потому что альтернатива - использование правил сохранения состояния, позволяющих возвращать пакеты при исходящих соединениях - включает в себя динамические правила (а также создание, управление и проверку всех пакетов на их соответствие), которые предположительно имеют некоторое влияние на производительность.
Имейте в виду, что это не имеет отношения к случаю, когда правило блокирует конкретный порт с низким номером (например,
Глобальная блокировка всего трафика на указанный порт кажется более эффективным, чем блокирование определенных видов трафика, как вы сказали меньше проверки пакетов. Это действительно зависит от вашего намерения. Если вы хотите, чтобы служба была открыта и доступна, но не хотите, чтобы кто-то SYN сканировал этот порт, есть другие методы обнаружения такого рода активности. Если вы не хотите, чтобы служба была доступна всем вместе, закройте порт.
Я думаю, это забавно: «Если я сделаю правило только отбрасывать SYN-пакеты для TCP, соединение не будет установлено, и брандмауэр выиграет. даже не нужно смотреть на другие пакеты. "
Что ж ... если вы не хотите, чтобы брандмауэр вообще просматривал какие-либо пакеты, откажитесь от всех!
Моя непроверенная теория гласит, что отбрасывание всех пакетов на порт происходит быстрее, чем отбрасывание только пакетов syn . Вот почему:
- Неожиданные пакеты обычно могут генерировать сообщение сброса TCP или ICMP-порт недоступен. Только запись правила для SYN-пакетов приведет к срабатыванию других пакетов в ОС.
- Правило все еще должно быть сопоставлено. Оба правила проверяют порт 22, но должна быть сделана еще одна проверка, есть ли SYN во втором правиле.
Чтобы быть эффективным, межсетевой экран в любом случае должен просматривать каждый пакет. Как брандмауэр с отслеживанием состояния, он может некоторое время сгореть, пытаясь сопоставить не-SYN-пакеты с существующими разрешенными потоками из других наборов правил.
Если вы собираетесь разорвать TCP-соединение с портом, отбросьте все TCP пакеты в порт.