2011/10/5 Andriy Yakovlev <[email protected]>: > 2011/10/5 Victor Sudakov <[email protected]>: >> Andriy Yakovlev wrote: >> По-прежнему не пойму, почему пакет вообще должен дойти до трех >> последних правил. >>
Кстати, прикинул вариант с NAT. В этом варианте весь входящий трафик на OUTSIDE пытается deNAT-иться и лишь потом отрабатывает state. Теоритически можно вызвать DDOS на NAT, но учитывая что сейчас он ядерный, маловероятно. permit ip from any to any recv INSIDE in reverse-path permit ip from any to any recv DMZ in reverse-path nat 5 ip from any to me in via OUTSIDE check-state permit ip from any to any recv INSIDE xmit DMZ out keep-state skipto $out1 ip from any to any recv INSIDE xmit OUTSIDE out keep-state skipto $out1 ip from any to any recv DMZ xmit OUTSIDE out keep-state deny ip from any to any $out1 nat 5 ip from any to any out via OUTSIDE allow ip from any to any ############################################################# И что-бы усугубИть, В этом варианте весь входящий трафик на OUTSIDE отрабатывает state, пытается deNAT-иться и лишь потом отрабатывает другой state. т.е ведеться два state для каждого соедения. Скорее всего жить не будет и умрет от количества состояний. permit ip from any to any recv INSIDE in reverse-path permit ip from any to any recv DMZ in reverse-path check-state permit ip from any to any recv INSIDE xmit DMZ out keep-state skipto $out1 ip from any to any recv INSIDE xmit OUTSIDE out keep-state skipto $out1 ip from any to any recv DMZ xmit OUTSIDE out keep-state deny ip from any to any $out1 nat 5 ip from any to any out via OUTSIDE skipto $out2 ip from any to any out via OUTSIDE keep-state $out2 nat 5 ip from any to me in via OUTSIDE allow ip from any to any -- Best regards, Andriy Yakovlev (AYA-RIPE)
