Mykola Dzham wrote: > > permit ip from any to any in recv $dmz > permit ip from any to any in recv $inside > deny ip from any to any out recv $dmz xmit $inside > > Что, менее красиво? по моему один фиг.
Ты не мог бы пояснить такой момент. Имеем набор правил router1# ipfw list 00100 check-state 00200 allow ip from any to any via lo0 00300 allow ip from any to any in via DMZ keep-state 00500 allow ip from any to any out via OUTSIDE keep-state 65535 deny ip from any to any Трафик уходит из ДМЗ наружу и возвращается, всё в порядке. Просто добавляем в 300 правило tag router1# ipfw list 00100 check-state 00200 allow ip from any to any via lo0 00300 allow tag 12 ip from any to any in via DMZ keep-state 00500 allow ip from any to any out via OUTSIDE keep-state 65535 deny ip from any to any и трафик ходить перестает. В логе видно, что *возвратный* трафик доходит до конца правил и режется на out via DMZ. Почему так? Соответствующее STATE правило по "ipfw -d" видно, только почему не срабатывает? -- Victor Sudakov, VAS4-RIPE, VAS47-RIPN sip:[email protected]
