Eugene Grosbein wrote: > > >>> Про какой "потом" идет речь, если обработка правил прекращается после > >>> first match, а first match у нас permit? > >> > >> В роутере по правилам ipfw каждый транзитный пакет проходит более одного > >> раза, > >> обычно два, реже четыре (если L2-фильтрация включена). На проходе 'in' он > >> пройдет, > >> а на втором проходе уже как 'out' его можно пофильтровать. > > > > А зачем тогда в этом наборе > > > >> permit ip from any to any recv INSIDE in reverse-path > >> permit ip from any to any recv DMZ in reverse-path > >> permit ip from any to any recv INSIDE xmit DMZ out keep-state > >> permit ip from any to any recv INSIDE xmit OUTSIDE out keep-state > >> permit ip from any to any recv DMZ xmit OUTSIDE out keep-state > > > > > > отдельные "recv INSIDE in" и "recv DMZ in"? > > Я эти правила не писал :-)
Так я и пишу не лично тебе, а в эху. Вот Andriy Yakovlev может ответит. > Я вообще предпочитаю stateless firewals. Я предпочитаю то, что проще и менее error-prone. Во фре нормального stateful нет (особенно в сочетании с NAT), так что может тут и правда stateless нужно предпочесть. Тем более что если нужно разрешить ftp или rsh, без stateless правил всё равно не обойтись. > > Почему нельзя единым махом > > > > permit ip from any to any in > > permit ip from any to any recv INSIDE xmit DMZ out keep-state > > permit ip from any to any recv INSIDE xmit OUTSIDE out keep-state > > permit ip from any to any recv DMZ xmit OUTSIDE out keep-state > > Можно, почему нельзя :-) Ну у Andriy Yakovlev были же какие-то соображения сделать отдельно? Я вот например во всех правилах стараюсь указывать "in via", "out via" даже без особой необходимости. Может и у него нечто подобное. -- Victor Sudakov, VAS4-RIPE, VAS47-RIPN sip:[email protected]
