Коллеги, ifpw как известно весьма низкоуровневая вещь. Никто не писал макрос или скрипт, который бы сгенерил правила ipfw по типу как в Cisco PIX: назначил интерфейсам уровни безопасности, и трафик может идти с интерфейса с большим security level на интерфейс с меньшим security level, но не наоборот (точнее, наоборот - только возвратный трафик).
Я что-то попытался продумать такую конструкцию с keep-state хотя бы для 3 интерфейсов с разными уровнями (inside 100, outside 0, dmz 50) и у меня ум за разум зашёл. А если еще адреса транслировать надо, вообще труба. -- Victor Sudakov, VAS4-RIPE, VAS47-RIPN sip:[email protected]
