1. Firewall PFsense: stateful filtering

PFsense è un firewall opensource diffuso e di installazione piuttosto semplice. Una delle sue caratteristiche è quella di fornire, come molti altri firewall, un filtraggio Stateful. Vediamo di cosa si tratta. Diamo per scontata l’installazione di PFsense, che non è particolarmente complessa, e vediamo gli aspetti basilari della sua configurazione.

Si dice stateful firewall  un firewall che tiene traccia delle connessioni effettuate dall’interno verso l’esterno, e consente traffico di ritorno dall’esterno soltanto per quelle connessioni che sono già state avviate dai client presenti sulla rete interna (che genericamente indicheremo come inside).

In sostanza se un client connesso sulla rete inside si connette ad un server su internet, il traffico di ritorno è consentito perchè la connessione è stata attivata dal’interno. Lo stesso traffico dall’esterno, in assenza di una connessione già stabilita, viene scartato dal firewall.

Il tracciamento del traffico può essere effettuato non solo per protocoli pienamente stateful, come il TCP, per i quali possiamo avere informazioni precise sullo stato della connessione  (se è in corso di avvio, già stabilita, traffico scambiato, etc.), ma anche per quei protocolli, come UDP. che stateful non sono.

PFsense tiene in sostanza una tabella delle sessioni stabilite, per cui se un client, ad esempio, avvia una sessione DNS verso il server su internet 1.1.1.1, dall’indirizzo interno 192.168.0.100:1000, avremo in tabella una voce che indica:
UDP   192.168.0.100:1000  -> 1.1.1.1:53

dove 1000 e 53 sono i numeri delle porte coinvolte.

Con UDP il problema sorge nel momento in cui la voce va tolta dalla tabella: mentre il TCP invia dei messaggi di “fine comunicazione” (FIN o RST) con UDP possiamo soltanto affidarci ad un timeout a tempo.

La dimensione della tabella delle sessioni ha la sua criticità: ogni stato prende circa 1 Kbyte di memoria ; abbiamo dunque un certo consumo di RAM da parte del firewall, che non consentirà altre connessioni una volta che la tabella è esaurita. Le dimensioni della tabella possono essere modificate da System > Advanced -> tab Firewall/NAT

Continua a leggere su Egress filtering

 

Utilizzando il sito, accetti l'utilizzo dei cookie da parte nostra. Usiamo i cookies per ragioni tecniche. Teniamo in alta considerazione la tua privacy.

Questo sito utilizza i cookie per fonire la migliore esperienza di navigazione possibile. Continuando a utilizzare questo sito senza modificare le impostazioni dei cookie o clicchi su "Accetta" permetti al loro utilizzo.

Chiudi