Victor Sudakov wrote: > Mykola Dzham wrote: > > [dd] > > > > > > > Ничего не понял. Если вначале поставить "permit ip from any to any in", > > > то это правило сработает на любой пакет и пакет покинет ipfw. > > > > Покинет ipfw, но не покинет роутер. Пакет всего лишь пройдет входящие > > проверки и уйдёт "to upper layers" согласно PACKET FLOW из ipfw(8) . В > > случае с роутером там он будет отмаршрутизирован в исходящий интерфейс и > > опять по новой попадёт в ваерволл, где уже не заматчится in правилом, но > > будет проверяться по xmit правилам. > > Все время забываю, что "the number of times the same packet goes > through the firewall can vary between 0 and 4 depending on packet > source and destination, and system configuration." Надо этот PACKET > FLOW распечатать и на стену повесить. > > Но согласись, что Корчмарь отчасти прав, конструкция получается > неудобочитаемая и error-prone (как это будет по-русски?). > > ЗЫ Я даже в простейших конфигурациях ipfw всегда старался указывать > "in via", "out via", чтобы избежать неопределенности в пути пакетов > через ipfw.
Ну вот для того, чтобы конструкция была удобочитаема, полезно во первых не стараться, а всегда писать in recv и out xmit , и группировать правила по in , по out, по интерфейсам. -- LEFT-(UANIC|RIPE) JID: [email protected] PGP fingerprint: 1BCD 7C80 2E04 7282 C944 B0E0 7E67 619E 4E72 9280
