Опции правила Stateful
Фильтрование трафика с учетом состояния осуществляется как двунаправленный обмен пакетами с анализом переговоров о создании сессии. Существует возможность определить, что переговоры о сессии между отправителем и получателем соответствуют корректной процедуре двунаправленного обмена пакетами. Любые пакеты, которые не соответствуют правильному образцу создания сессии, автоматически отвергаются как фальшивые.
check-state используется для указания того, что правила пакетного фильтра выполняют динамические проверки. При наличии соответствия пакета пакетный фильтр продолжает выполнять все действия обычным способом и дополнительно динамически создает новое правило для следующего ожидаемого пакета, которым должны обмениваться при двунаправленной установки сессии. При отсутствии соответствия пакет передается следующему правилу для проверки.
Динамические правила уязвимы для исчерпания ресурсов с помощью SYN-flood атаки, при которой создается большое число динамических правил. Для отражения данной атаки во FreeBSD версии 4.5 добавлена новая опция, называемая limit. Эта опция используется для ограничения количества одновременно устанавливаемых сессий с помощью просмотра полей источника или получателя в правиле, которое выполняется, если установлена опция limit. Если значение счетчика больше, чем значение, указанное в опции limit, пакет отбрасывается.
