2011/10/5 Victor Sudakov <[email protected]>: > Andriy Yakovlev wrote: >> >> >>>>>>>Гениально! >> >> >>>>>>> >> >> >>>>>>>check-state >> >> >>>>>>>permit ip from any to any recv INSIDE xmit DMZ keep-state >> >> >>>>>>>permit ip from any to any recv INSIDE xmit OUTSIDE keep-state >> >> >>>>>>>permit ip from any to any recv DMZ xmit OUTSIDE keep-state >> >> >>>>>>> >> >> >>>>> >> >> >>>>>Правила c xmit будут работать только на outgoing пакетах. >> >> >>>>>Как быть с incoming ? >> >> >>>>> >> >> >>>> >> >> >>>>check-state же >> >> >>>> >> >> >>> >> >> >>>State еще нет при приходе первого SYN в TCP потоке. >> >> >>>Если файрвол настроен на default to deny, то этот пакет не пройдет. >> >> >> >> >> >>Ну так и было задумано изначально: не пускать входящие соединения к >> >> >>защищаемым сетям. >> >> > >> >> >В случае вышеперечисленных правил и default to deny все входящие (с >> >> >точки зрения ipfw, а не построения сети) пакеты будут дропаться. >> >> >> >> Подумал ещё раз, согласен. state создасться не успеет. Надо allow in >> >> добавить в начале. >> >> xmit на входящем пакете не матчит: >> > >> > Так как окончательный набор правил-то будет выглядеть? >> > >> >> примерно так, reverse-path - для пущей строгости. >> >> permit ip from any to any recv INSIDE in reverse-path >> permit ip from any to any recv DMZ in reverse-path > модификатор - in | out Matches incoming or outgoing packets, respectively.
> Не значит ли это правило, что пакет из DMZ в INSIDE будет пропущен? > нет, трафик будет пропущен только на сам хост, а потом его никто не выпустит. >> permit ip from any to any recv INSIDE xmit DMZ keep-state > > А до этих правил по-моему вообще никогда не дойдет. эти правила будут обрабатываться на выходе трафика, можно добавить к ним out что-бы явно указать. итого permit ip from any to any recv INSIDE in reverse-path permit ip from any to any recv DMZ in reverse-path permit ip from any to any recv INSIDE xmit DMZ out keep-state permit ip from any to any recv INSIDE xmit OUTSIDE out keep-state permit ip from any to any recv DMZ xmit OUTSIDE out keep-state -- Best regards, Andriy Yakovlev (AYA-RIPE)
