Eugene Grosbein wrote: > > >>>> ну и типичная трясучка и фильтрация ICMP несколько смешна. > >>> > >>> IMHO неплохо, если stateful firewall будет в обязательном порядке > >>> пропускать нужное (для PMTUD etc). > >> > >> Ещё лучше, если firewall будет пропускать вообще весь ICMP, > >> возможно после rate-limit (стандартный antispoofing подразумевается). > > > > Такая точка зрения имеет право на существование, но не всегда > > приемлема по политическим соображениям. > > Ну и зря :-) > > > А мои примеры непонятных моментов в ipfw прокомметировать не мог бы? > > Оба изложены в Message-ID: <[email protected]> > > Я считаю комбинацию stateful firewall с NAT злом, приносящим больше > проблем чем решающим, поэтому не пользуюсь и тонкостей не знаю.
Есть подозрение, что данная комбинация является злом и проблемой только в контексте ipfw, ввиду крайней сложности конфигурирования. Лично я бы применил для данной задачи pf, если не бы отсутствие в его nat поддержки RTSP. > В случае с tag возможны просто баги в ядре. Зато пример c тэгом - без NAT, только keep-state :) ipfw почему-то не любит, когда два правила одновременно создают один и тот же state. А это как раз тот случай: 00300 allow tag 12 ip from any to any in via DMZ keep-state 00500 allow ip from any to any out via OUTSIDE keep-state -- Victor Sudakov, VAS4-RIPE, VAS47-RIPN sip:[email protected]
