Eugene Grosbein wrote: > > > Про какой "потом" идет речь, если обработка правил прекращается после > > first match, а first match у нас permit? > > В роутере по правилам ipfw каждый транзитный пакет проходит более одного раза, > обычно два, реже четыре (если L2-фильтрация включена). На проходе 'in' он > пройдет, > а на втором проходе уже как 'out' его можно пофильтровать. А зачем тогда в этом наборе
> permit ip from any to any recv INSIDE in reverse-path > permit ip from any to any recv DMZ in reverse-path > permit ip from any to any recv INSIDE xmit DMZ out keep-state > permit ip from any to any recv INSIDE xmit OUTSIDE out keep-state > permit ip from any to any recv DMZ xmit OUTSIDE out keep-state отдельные "recv INSIDE in" и "recv DMZ in"? Почему нельзя единым махом permit ip from any to any in permit ip from any to any recv INSIDE xmit DMZ out keep-state permit ip from any to any recv INSIDE xmit OUTSIDE out keep-state permit ip from any to any recv DMZ xmit OUTSIDE out keep-state -- Victor Sudakov, VAS4-RIPE, VAS47-RIPN sip:[email protected]
