Maxim Ignatenko wrote: > >>>>>>>>>Гениально! > >>>>>>>>> > >>>>>>>>>check-state > >>>>>>>>>permit ip from any to any recv INSIDE xmit DMZ keep-state > >>>>>>>>>permit ip from any to any recv INSIDE xmit OUTSIDE keep-state > >>>>>>>>>permit ip from any to any recv DMZ xmit OUTSIDE keep-state > >>>>>>>>> > >>>>>>> > >>>>>>>Правила c xmit будут работать только на outgoing пакетах. > >>>>>>>Как быть с incoming ? > >>>>>>> > >>>>>> > >>>>>>check-state же > >>>>>> > >>>>> > >>>>>State еще нет при приходе первого SYN в TCP потоке. > >>>>>Если файрвол настроен на default to deny, то этот пакет не > >>пройдет. > >>>> > >>>>Ну так и было задумано изначально: не пускать входящие соединения > >>к > >>>>защищаемым сетям. > >>> > >>>В случае вышеперечисленных правил и default to deny все входящие (с > >>>точки зрения ipfw, а не построения сети) пакеты будут дропаться. > >> > >>Подумал ещё раз, согласен. state создасться не успеет. Надо allow in > >>добавить в начале. > >>xmit на входящем пакете не матчит: > > > >Так как окончательный набор правил-то будет выглядеть? > > так же, только с "permit ip from any to any in" перед "check-state". > Естественно, перед ним можно добавить правила для ограничения доступа к > самому роутеру
Ничего не понял. Если вначале поставить "permit ip from any to any in", то это правило сработает на любой пакет и пакет покинет ipfw. -- Victor Sudakov, VAS4-RIPE, VAS47-RIPN sip:[email protected]
