답변:
상태 저장은 연결을 추적하고 3 방향 핸드 셰이크, SYN, ACK 등을 확인한다는 의미입니다. 패킷이 새로운 연결을 만들기 위해 나가는 것을 알고 있습니다. 패킷이 기존 연결의 일부인지 알고 있습니다.
Stateless는 그렇지 않다는 것을 의미합니다. 패킷이 들어오고 나가는 지 (패킷 방향) IP, PORT 만 살펴 봅니다. Stateful은 그 이상을 할 수 있습니다
상태 비 저장 인 경우 설정된 연결을 허용하거나 새 연결을 허용 / 출력하지 않도록 지정할 수 없습니다.이 포트에서이 /이 IP로 들어오는 모든 패킷을 허용하도록 지정할 수 있습니다.
서버를 실행하고 방화벽이 해당 서버에 패킷을 통과하게하려면 서버에 패킷을 허용하는 것이 좋습니다. 모든 패킷을 허용하고 모든 패킷을 허용하며 일부 IP를 제한 할 수 있습니다. 따라서 상태 저장 여부에 관계없이 차이가 없습니다.
그러나 웹을 탐색하려는 경우 웹이 상태 저장 방화벽 인 경우 포트 80에서 모든 패킷을 허용하고 ESTABLISHED를 허용 또는 거부 할 수 있습니다. (이것은 iptables에 공통입니다) 따라서 들어오는 유일한 패킷은 이미 설정된 연결의 일부입니다. 나가는 패킷은 새로운 연결을 만들거나 기존 연결의 일부이거나 규칙을 거부하지 않고 모든 것이 나갈 수 있습니다. 그것은 일반적인 구성입니다. -A INPUT -m conntrack --ctstate ESTABLISHED -j ACCEPTiptables 기사 "완벽한 규칙 세트를 향하여" http://inai.de/documents/Perfect_Ruleset.pdf 에서 설정된 연결의 패킷을 허용 하는 iptables의 규칙
또는 ipfw로 수행되는 작업은 포트 80에서 나가는 연결을 허용하며 해당 연결과 관련된 모든 패킷이 들어 오거나 나올 수 있습니다. 상태가 양호합니다. allow tcp from any to any 80 out setup keep-state
상태 비 저장 방화벽은 연결을 추적하지 않습니다. 제한 사항을 알고있는 동안이를 사용하지 않았으므로, 웹 브라우징을 사용하여 웹 브라우징을 구성하는 가장 좋은 방법은 확실하지 않지만 허용해야한다고 가정합니다. 포트 80에서 1023보다 큰 포트로의 패킷 포트 80에 모든 패킷을 허용하십시오. 높은 포트에서 서버를 실행하는 경우 (일부는 보안을 위해) 웹을 탐색하기위한 규칙이 느슨해 져서 누구나 연결할 수 있기 때문에 안전하지 않습니다. 그래서 당신은 낮은 포트에 서버를 놓을 것이라고 생각합니다. 즉, 웹 브라우징을 허용하기 위해 상태 비 저장 규칙을 사용하지 않았습니다. 가장 안전한 방법은 확실하지 않습니다. 비록 아무도 이것을 위해 상태 비 저장 방화벽을 사용하지는 않을 것이라고 생각합니다.