TCP-SYN-Proxy mit PF
TCP-SYN-Proxy
Als Schutz gegen "TCP-SYN-Flooding" bietet PF die Möglichkeit als TCP-SYN-Proxy zu fungieren. In diesem Fall wird PF den TCP-Handschlag ( three-way handshake ) mit dem Client selbst absolvieren, danach einen Handschlag mit dem Server beginnen und erst dann die Pakete zwischen den beiden durchlassen. Dieses vorgehen bietet Schutz gegen die Gefahr eines "spoofed" TCP-SYN-Floods.
Zum Schutz eines Webservers mittels des TCP-Proxy ist folgender Eintrag in der pf.conf nötig
pass in on $ext_if proto tcp from any to $web_server port www flags S/SA synproxy state
Comments
Display comments as Linear | Threaded