06.10.2011 14:04, Victor Sudakov пишет: >>> А зачем тогда в этом наборе >>> >>>> permit ip from any to any recv INSIDE in reverse-path >>>> permit ip from any to any recv DMZ in reverse-path >>>> permit ip from any to any recv INSIDE xmit DMZ out keep-state >>>> permit ip from any to any recv INSIDE xmit OUTSIDE out keep-state >>>> permit ip from any to any recv DMZ xmit OUTSIDE out keep-state >>> >>> >>> отдельные "recv INSIDE in" и "recv DMZ in"? >> >> Я эти правила не писал :-) > > Так я и пишу не лично тебе, а в эху. Вот Andriy Yakovlev может ответит.
CC: мне было, тем не менее :-) >> Я вообще предпочитаю stateless firewals. > > Я предпочитаю то, что проще и менее error-prone. Во фре нормального > stateful нет (особенно в сочетании с NAT), так что может тут и правда > stateless нужно предпочесть. Тем более что если нужно разрешить ftp > или rsh, без stateless правил всё равно не обойтись. Ну я как-то обхожусь. При использовании NAT не вижу ни одной причины для closed firefall.
