06.10.2011 12:27, Victor Sudakov пишет: >>> Про какой "потом" идет речь, если обработка правил прекращается после >>> first match, а first match у нас permit? >> >> В роутере по правилам ipfw каждый транзитный пакет проходит более одного >> раза, >> обычно два, реже четыре (если L2-фильтрация включена). На проходе 'in' он >> пройдет, >> а на втором проходе уже как 'out' его можно пофильтровать. > > А зачем тогда в этом наборе > >> permit ip from any to any recv INSIDE in reverse-path >> permit ip from any to any recv DMZ in reverse-path >> permit ip from any to any recv INSIDE xmit DMZ out keep-state >> permit ip from any to any recv INSIDE xmit OUTSIDE out keep-state >> permit ip from any to any recv DMZ xmit OUTSIDE out keep-state > > > отдельные "recv INSIDE in" и "recv DMZ in"?
Я эти правила не писал :-) Я вообще предпочитаю stateless firewals. > Почему нельзя единым махом > > permit ip from any to any in > permit ip from any to any recv INSIDE xmit DMZ out keep-state > permit ip from any to any recv INSIDE xmit OUTSIDE out keep-state > permit ip from any to any recv DMZ xmit OUTSIDE out keep-state Можно, почему нельзя :-)
