Ciernik Tomas napsal(a):
Zbyněk Burget wrote / napísal(a):
Ciernik Tomas napsal(a):
02010 skipto 65010 tcp from any to any out via tun3 setup keep-state
02011 skipto 65010 ip from any to any out via tun3 keep-state
^^^^^^^^^^^^^^^ ^^^^^^^^^^^^^^
nejsem si jist tim, ze zrovna tohle bude fungovat - nevim, jestli se
pri naslednem check-state provede ten skok
Bol som v domneni, ze ten check-state nic neurobi - ziadne spojenie este
nebolo nadviazane, takze by mal ist dalej na skipto.
keep-state vyrobi dynamicke pravidlo pro tok, jehoz packet pravidlo
zpracovalo. Check-state pak zkontroluje, zda pro packet existuje takto
vyrobene dynamicke pravidlo a pokud ano, preda jej tomu dynamickemu
pravidlu. A ja si nejsem jisty tim, zda jako dynamicke pravidlo pujde
vytvorit skipto...
...pripadne se vybodnout na stavovy firewall a pouzit firewall
nestavovy. Mimochodem - mas nejaky vazny duvod k pouziti stavoveho
firewallu?
Ako sa pozeram na logy ani nie, kazdopadne si myslim ze je lepsie
povolit len riadne nadviazane spojenia.
Toto lze pro TCP spojeni resit i jenak, nez stavovym firewallem -
podivej se na volbu "established". Pro UDP samozrejme rozhodovani
stavovy / nestavovy firewall nema smysl...
Zbynek
--
FreeBSD mailing list ([email protected])
http://www.freebsd.cz/listserv/listinfo/users-l
