Victor Sudakov wrote: > Maxim Ignatenko wrote: > > >>>>>>>>>Гениально! > > >>>>>>>>> > > >>>>>>>>>check-state > > >>>>>>>>>permit ip from any to any recv INSIDE xmit DMZ keep-state > > >>>>>>>>>permit ip from any to any recv INSIDE xmit OUTSIDE keep-state > > >>>>>>>>>permit ip from any to any recv DMZ xmit OUTSIDE keep-state > > >>>>>>>>> > > >>>>>>> > > >>>>>>>Правила c xmit будут работать только на outgoing пакетах. > > >>>>>>>Как быть с incoming ? > > >>>>>>> > > >>>>>> > > >>>>>>check-state же > > >>>>>> > > >>>>> > > >>>>>State еще нет при приходе первого SYN в TCP потоке. > > >>>>>Если файрвол настроен на default to deny, то этот пакет не > > >>пройдет. > > >>>> > > >>>>Ну так и было задумано изначально: не пускать входящие соединения > > >>к > > >>>>защищаемым сетям. > > >>> > > >>>В случае вышеперечисленных правил и default to deny все входящие (с > > >>>точки зрения ipfw, а не построения сети) пакеты будут дропаться. > > >> > > >>Подумал ещё раз, согласен. state создасться не успеет. Надо allow in > > >>добавить в начале. > > >>xmit на входящем пакете не матчит: > > > > > >Так как окончательный набор правил-то будет выглядеть? > > > > так же, только с "permit ip from any to any in" перед "check-state". > > Естественно, перед ним можно добавить правила для ограничения доступа к > > самому роутеру > > Ничего не понял. Если вначале поставить "permit ip from any to any in", > то это правило сработает на любой пакет и пакет покинет ipfw.
Покинет ipfw, но не покинет роутер. Пакет всего лишь пройдет входящие проверки и уйдёт "to upper layers" согласно PACKET FLOW из ipfw(8) . В случае с роутером там он будет отмаршрутизирован в исходящий интерфейс и опять по новой попадёт в ваерволл, где уже не заматчится in правилом, но будет проверяться по xmit правилам. -- LEFT-(UANIC|RIPE) JID: [email protected] PGP fingerprint: 1BCD 7C80 2E04 7282 C944 B0E0 7E67 619E 4E72 9280
