Andriy Yakovlev wrote: > 2011/10/5 Victor Sudakov <v...@mpeks.tomsk.su>: > > Andriy Yakovlev wrote: > >> >> >>>>>>>Гениально! > >> >> >>>>>>> > >> >> >>>>>>>check-state > >> >> >>>>>>>permit ip from any to any recv INSIDE xmit DMZ keep-state > >> >> >>>>>>>permit ip from any to any recv INSIDE xmit OUTSIDE keep-state > >> >> >>>>>>>permit ip from any to any recv DMZ xmit OUTSIDE keep-state > >> >> >>>>>>> > >> >> >>>>> > >> >> >>>>>Правила c xmit будут работать только на outgoing пакетах. > >> >> >>>>>Как быть с incoming ? > >> >> >>>>> > >> >> >>>> > >> >> >>>>check-state же > >> >> >>>> > >> >> >>> > >> >> >>>State еще нет при приходе первого SYN в TCP потоке. > >> >> >>>Если файрвол настроен на default to deny, то этот пакет не пройдет. > >> >> >> > >> >> >>Ну так и было задумано изначально: не пускать входящие соединения к > >> >> >>защищаемым сетям. > >> >> > > >> >> >В случае вышеперечисленных правил и default to deny все входящие (с > >> >> >точки зрения ipfw, а не построения сети) пакеты будут дропаться. > >> >> > >> >> Подумал ещё раз, согласен. state создасться не успеет. Надо allow in > >> >> добавить в начале. > >> >> xmit на входящем пакете не матчит: > >> > > >> > Так как окончательный набор правил-то будет выглядеть? > >> > > >> > >> примерно так, reverse-path - для пущей строгости. > >> > >> permit ip from any to any recv INSIDE in reverse-path > >> permit ip from any to any recv DMZ in reverse-path > > > модификатор - in | out > Matches incoming or outgoing packets, respectively. > > > Не значит ли это правило, что пакет из DMZ в INSIDE будет пропущен? > > > > нет, трафик будет пропущен только на сам хост, а потом его никто не выпустит.
Про какой "потом" идет речь, если обработка правил прекращается после first match, а first match у нас permit? > > >> permit ip from any to any recv INSIDE xmit DMZ keep-state > > > > А до этих правил по-моему вообще никогда не дойдет. > эти правила будут обрабатываться на выходе трафика, можно добавить к > ним out что-бы явно указать. > > итого > permit ip from any to any recv INSIDE in reverse-path > permit ip from any to any recv DMZ in reverse-path > permit ip from any to any recv INSIDE xmit DMZ out keep-state > permit ip from any to any recv INSIDE xmit OUTSIDE out keep-state > permit ip from any to any recv DMZ xmit OUTSIDE out keep-state По-прежнему не пойму, почему пакет вообще должен дойти до трех последних правил. -- Victor Sudakov, VAS4-RIPE, VAS47-RIPN sip:suda...@sibptus.tomsk.ru
