Alex Korchmar wrote: > > > ifpw как известно весьма низкоуровневая вещь. Никто не писал макрос > проблема не в том что "низкоуровневая", проблема в том что в принципе > примитивная.
Чем же она примитивная? Именно что низкоуровневая, наподобие программирования в кодах. Можно написать что угодно, но лень и не царское дело. Хотя ты прав, stateful firewall там примитивный, в смысле мало умеет. Хотя бы tftp и rsh умел бы. Хотя что я, он даже ftp не умеет. > > или скрипт, который бы сгенерил правила ipfw по типу как в Cisco PIX: > а смысл? Пикса на коленке все равно не получится, ибо пикс это немножко > больше чем простые конфиги. Кстати,бу - и недорого... Мне это нужно там, где нужно немножко больше пикса. На пикс не поставишь заодно веб или почтовый сервер, и Win7 с ним не работает по PPTP. > > Ну и напишешь ты такой скрипт - что будем делать (скриптом или руками) если > понадобилось добавить порт/хост/протокол? (а если, не дай аллах, интерфейс?) > Радостно снесем нахрен весь файрвол и зальем заново? Я так и делаю обычно. ipfw flush ; ipfw /usr/local/etc/ipfw.sh > > > Я что-то попытался продумать такую конструкцию с keep-state хотя бы > > для 3 интерфейсов с разными уровнями (inside 100, outside 0, dmz 50) > > и у меня ум за разум зашёл. А если еще адреса транслировать надо, > > вообще труба. > потому что ipfw - примитивное дерьмецо. По исходной задумке, не по реализации. > Это была чудесная конструкция образца 1994-го года, когда процессоры были > большими, а каналы маленькими. > Уже в 95-м со своими номерками смотрелась некоторым анахронизмом. Номерки в ipfw можно не ставить, по крайней мере пока не начинаются пляски с NAT и skipto. А вот тогда уже получается трудночитаемый код a la BASIC. Но по существу хотелось бы всё-таки услышать. Впрочем, мне не обязательно на ipfw. Если задачу проще решить на pf, я готов его изучить. -- Victor Sudakov, VAS4-RIPE, VAS47-RIPN sip:suda...@sibptus.tomsk.ru