Maxim Ignatenko wrote: > >>>>>>>Гениально! > >>>>>>> > >>>>>>>check-state > >>>>>>>permit ip from any to any recv INSIDE xmit DMZ keep-state > >>>>>>>permit ip from any to any recv INSIDE xmit OUTSIDE keep-state > >>>>>>>permit ip from any to any recv DMZ xmit OUTSIDE keep-state > >>>>>>> > >>>>> > >>>>>Правила c xmit будут работать только на outgoing пакетах. > >>>>>Как быть с incoming ? > >>>>> > >>>> > >>>>check-state же > >>>> > >>> > >>>State еще нет при приходе первого SYN в TCP потоке. > >>>Если файрвол настроен на default to deny, то этот пакет не пройдет. > >> > >>Ну так и было задумано изначально: не пускать входящие соединения к > >>защищаемым сетям. > > > >В случае вышеперечисленных правил и default to deny все входящие (с > >точки зрения ipfw, а не построения сети) пакеты будут дропаться. > > Подумал ещё раз, согласен. state создасться не успеет. Надо allow in > добавить в начале. > xmit на входящем пакете не матчит:
Так как окончательный набор правил-то будет выглядеть? -- Victor Sudakov, VAS4-RIPE, VAS47-RIPN sip:suda...@sibptus.tomsk.ru