2011/10/5 Victor Sudakov <[email protected]>: > Maxim Ignatenko wrote: >> >>>>>>>Гениально! >> >>>>>>> >> >>>>>>>check-state >> >>>>>>>permit ip from any to any recv INSIDE xmit DMZ keep-state >> >>>>>>>permit ip from any to any recv INSIDE xmit OUTSIDE keep-state >> >>>>>>>permit ip from any to any recv DMZ xmit OUTSIDE keep-state >> >>>>>>> >> >>>>> >> >>>>>Правила c xmit будут работать только на outgoing пакетах. >> >>>>>Как быть с incoming ? >> >>>>> >> >>>> >> >>>>check-state же >> >>>> >> >>> >> >>>State еще нет при приходе первого SYN в TCP потоке. >> >>>Если файрвол настроен на default to deny, то этот пакет не пройдет. >> >> >> >>Ну так и было задумано изначально: не пускать входящие соединения к >> >>защищаемым сетям. >> > >> >В случае вышеперечисленных правил и default to deny все входящие (с >> >точки зрения ipfw, а не построения сети) пакеты будут дропаться. >> >> Подумал ещё раз, согласен. state создасться не успеет. Надо allow in >> добавить в начале. >> xmit на входящем пакете не матчит: > > Так как окончательный набор правил-то будет выглядеть? >
примерно так, reverse-path - для пущей строгости. permit ip from any to any recv INSIDE in reverse-path permit ip from any to any recv DMZ in reverse-path permit ip from any to any recv INSIDE xmit DMZ keep-state permit ip from any to any recv INSIDE xmit OUTSIDE keep-state permit ip from any to any recv DMZ xmit OUTSIDE keep-state -- Best regards, Andriy Yakovlev (AYA-RIPE)
