Mykola Dzham wrote: [dd]
> > > > Ничего не понял. Если вначале поставить "permit ip from any to any in", > > то это правило сработает на любой пакет и пакет покинет ipfw. > > Покинет ipfw, но не покинет роутер. Пакет всего лишь пройдет входящие > проверки и уйдёт "to upper layers" согласно PACKET FLOW из ipfw(8) . В > случае с роутером там он будет отмаршрутизирован в исходящий интерфейс и > опять по новой попадёт в ваерволл, где уже не заматчится in правилом, но > будет проверяться по xmit правилам. Все время забываю, что "the number of times the same packet goes through the firewall can vary between 0 and 4 depending on packet source and destination, and system configuration." Надо этот PACKET FLOW распечатать и на стену повесить. Но согласись, что Корчмарь отчасти прав, конструкция получается неудобочитаемая и error-prone (как это будет по-русски?). ЗЫ Я даже в простейших конфигурациях ipfw всегда старался указывать "in via", "out via", чтобы избежать неопределенности в пути пакетов через ipfw. -- Victor Sudakov, VAS4-RIPE, VAS47-RIPN sip:[email protected]
