Varför en explicit &quot;Drop invalid state&quot;-regel? (EdgeRouter)

Citera flera Citera

2025-01-06 18:31

vipers

Medlem

Registrerad: Jan 2007

●

Jag håller med, jag tycker det verkar onödigt. Default action drop borde räcka. De kanske bara vill visa hur man kan skapa olika regler som matchar på olika sessions states.

Visa signatur

CCNP R/S + SPCOR, NSE7 (emeritus)

Citera flera Citera

2025-01-06 19:05

Hubertus

Medlem ★

Registrerad: Okt 2013

●

Jag uppfattar det som att man på ett tidigt stadium vill sortera bort det som inte hör dit. Alternativet innebär ju att den onödiga trafiken hänger med ända till slutet vilket innebär en onödig belastning på brandväggen.

Citera flera Citera (3)

2025-01-06 19:07

https://help.ui.com/hc/en-us/articles/204962154-EdgeRouter-How-to-Create-a-WAN-Firewall-Rule

evil penguin

Medlem ★

Registrerad: Apr 2002

●

Skrivet av bytelab:

Är det någon som vet anledningen till varför de skapar en explicit "Drop invalid state"-regel för WAN_IN och WAN_LOCAL i guiden nedan? Med "default-action drop" är väl den regeln bara överflödigt, eller går man misste om någon funktion utan den?

Jag förutsätter att tanken är att det ska vara en mall att bygga vidare på, och att du då ska lägga din egna regler efter det där. Och i det läget blir det ju inte längre samma sak att "men det finns ju default drop om inget matchar".

Visa signatur

Desktop spel m.m.: Ryzen 9800X3D || MSI X870 Tomahawk Wifi || Sapphire Pulse RX 7900 XTX || Gskill FlareX 6000 64GB || Kingston KC3000 2TB || Samsung 970 EVO Plus 2TB || Samsung 960 Pro 1TB || Fractal Torrent || Asus PG42UQ 4K OLED
Arbetsstation: Ryzen 7945HX || Minisforum BD790i || Asus Proart 4070 Ti Super || Kingston Fury Impact 5600 65 GB || WD SN850 2TB || Samsung 990 Pro 2TB || Fractal Ridge
Proxmox server: Ryzen 5900X || Asrock Rack X570D4I-2T || Kingston 64GB ECC || WD Red SN700 1TB || Blandning av WD Red / Seagate Ironwolf för lagring || Fractal Node 304

Citera flera Citera (2)

2025-01-06 19:21

bytelab

Medlem

Plats: Sätila
Registrerad: Jul 2005

●

Skrivet av Hubertus:

Jag uppfattar det som att man på ett tidigt stadium vill sortera bort det som inte hör dit. Alternativet innebär ju att den onödiga trafiken hänger med ända till slutet vilket innebär en onödig belastning på brandväggen.

Bra poäng, att därefter ha fler regler är ett scenario jag inte tänkt på 😁

Visa signatur

A computer once beat me...

Citera flera Citera

2025-01-06 22:06

blunden

Medlem ★

Plats: Stockholm
Registrerad: Dec 2003

●

Skrivet av Hubertus:

Jag uppfattar det som att man på ett tidigt stadium vill sortera bort det som inte hör dit. Alternativet innebär ju att den onödiga trafiken hänger med ända till slutet vilket innebär en onödig belastning på brandväggen.

Ja, det är en vanlig prestandaoptimering såvitt jag vet, av precis den anledningen du beskriver.

Skrivet av bytelab:

Bra poäng, att därefter ha fler regler är ett scenario jag inte tänkt på 😁

Varje typ av inkommande trafik som du vill tillåta måste ju läggas till och matches mot innan default-regeln på slutet. I större miljö är det ju potentiellt hundratals eller tusentals regler som den ogiltiga trafiken måste matchas mot istället för att droppa den direkt.

Senast redigerat igår 13:42 Stavfel

Visa signatur

Citera flera Citera (2)

igår 07:12