설정과 함께 지속 상태를 사용하는 사람들의 예가 많이 있습니다. 예를 들어:
ipfw add 1 allow tcp from any to me 22 setup keep-state
설정으로 인해 이 규칙은 TCP 핸드셰이크의 첫 번째 패킷인 SYN 패킷만 허용합니다. 좋아요
그런데 이것이 왜 그렇게 필요한가? 유지된 상태를 설정하지 않고 그냥 사용하면 안 되나요? 이익은 무엇입니까?
답변1
이 setup매개변수는 규칙이 일치하는 항목과 관련됩니다. 이 경우 클라이언트가 서버에 SYN 패킷을 보내는 TCP 3-way 핸드셰이크의 첫 번째 패킷과 일치합니다.
매개변수는 keep-state규칙이 일치할 때 수행할 작업에 대한 지침입니다. 이 경우 첫 번째 패킷을 보낸 후 다른 모든 패킷이 허용된다는 의미입니다.
이 setup keep-state모드는 일반적으로 이 예에서처럼 인바운드 연결이 아닌 아웃바운드 연결에 사용됩니다.
답변2
다음은 옵션을 설명하는 몇 가지 추가 정보입니다.
http://www.freebsdwiki.net/index.php/IPFIREWALL_%28IPFW%29_방화벽