Andriy Yakovlev wrote: > >> >>>>>>>Гениально! > >> >>>>>>> > >> >>>>>>>check-state > >> >>>>>>>permit ip from any to any recv INSIDE xmit DMZ keep-state > >> >>>>>>>permit ip from any to any recv INSIDE xmit OUTSIDE keep-state > >> >>>>>>>permit ip from any to any recv DMZ xmit OUTSIDE keep-state > >> >>>>>>> > >> >>>>> > >> >>>>>Правила c xmit будут работать только на outgoing пакетах. > >> >>>>>Как быть с incoming ? > >> >>>>> > >> >>>> > >> >>>>check-state же > >> >>>> > >> >>> > >> >>>State еще нет при приходе первого SYN в TCP потоке. > >> >>>Если файрвол настроен на default to deny, то этот пакет не пройдет. > >> >> > >> >>Ну так и было задумано изначально: не пускать входящие соединения к > >> >>защищаемым сетям. > >> > > >> >В случае вышеперечисленных правил и default to deny все входящие (с > >> >точки зрения ipfw, а не построения сети) пакеты будут дропаться. > >> > >> Подумал ещё раз, согласен. state создасться не успеет. Надо allow in > >> добавить в начале. > >> xmit на входящем пакете не матчит: > > > > Так как окончательный набор правил-то будет выглядеть? > > > > примерно так, reverse-path - для пущей строгости. > > permit ip from any to any recv INSIDE in reverse-path > permit ip from any to any recv DMZ in reverse-path
Не значит ли это правило, что пакет из DMZ в INSIDE будет пропущен? > permit ip from any to any recv INSIDE xmit DMZ keep-state А до этих правил по-моему вообще никогда не дойдет. > permit ip from any to any recv INSIDE xmit OUTSIDE keep-state > permit ip from any to any recv DMZ xmit OUTSIDE keep-state -- Victor Sudakov, VAS4-RIPE, VAS47-RIPN sip:[email protected]
