On Wed, 5 Oct 2011 21:29:48 +0700, Victor Sudakov wrote:
Maxim Ignatenko wrote:
>>>>>>>Гениально!
>>>>>>>
>>>>>>>check-state
>>>>>>>permit ip from any to any recv INSIDE xmit DMZ keep-state
>>>>>>>permit ip from any to any recv INSIDE xmit OUTSIDE keep-state
>>>>>>>permit ip from any to any recv DMZ xmit OUTSIDE keep-state
>>>>>>>
>>>>>
>>>>>Правила c xmit будут работать только на outgoing пакетах.
>>>>>Как быть с incoming ?
>>>>>
>>>>
>>>>check-state же
>>>>
>>>
>>>State еще нет при приходе первого SYN в TCP потоке.
>>>Если файрвол настроен на default to deny, то этот пакет не
пройдет.
>>
>>Ну так и было задумано изначально: не пускать входящие соединения
к
>>защищаемым сетям.
>
>В случае вышеперечисленных правил и default to deny все входящие (с
>точки зрения ipfw, а не построения сети) пакеты будут дропаться.
Подумал ещё раз, согласен. state создасться не успеет. Надо allow in
добавить в начале.
xmit на входящем пакете не матчит:
Так как окончательный набор правил-то будет выглядеть?
так же, только с "permit ip from any to any in" перед "check-state".
Естественно, перед ним можно добавить правила для ограничения доступа к
самому роутеру
