> Добавьте в natd опцию deny_incomings Не будет ли эта опция причиной, что подключиться к боксу снаружи к внешнему адресу будет невозможно?
> Вообще конфиг перегружен ненужными правилами очень сильно ,а некоторые - вообще бессмысленны..
> например правило за номером 10990...Фееричная дырка в безопасности...
Рассмотрим соединение общий случай без прозрачного проксирования.
Клиент из сети 192.168... начинает tcp подключение к внешнему адресу.
пакеты из внутренней сети проходят через внутренний интерфейс и попадают под правило
${fwcmd} add 11910 allow all from 192.168.1.0/24 to any in recv ${intiface}
далее пакет передается на внешний интерфейс и попадает под правило
${fwcmd} add 10510 divert natd all from ${localnet} to any out xmit ${extiface}
возвращается в цепочку правил и попадает под правило
${fwcmd} add 10940 allow tcp from me to any out xmit ${extiface} setup keep-state
внешний хост отвечает
входящие пакеты от внешнего хоста попадают под правило
${fwcmd} add 10520 divert natd all from any to ${extip} in recv ${extiface}
адрес назначения меняется на адрес 192.168..... и пакет возвращается в цепочку правил
сейчас уже на внешнем интерфейсе проверяется входящий пакет с адресом назначения 192.168.... какое правило пропустит этот пакет на внешнем интерфейсе?
под созданное динамическое правило от
${fwcmd} add 10940 allow tcp from me to any out xmit ${extiface} setup keep-state
пакет не подпадает так как указан адрес me, адрес внешнего интерфейса, надо же проверять адрес 192.168. .....
а попадет пакет под правило
${fwcmd} add 10990 allow all from any to ${localnet} via ${extiface}
В данном случае это правило нужно.
В общем случает правило нужно изменить для одностороннего прохождения пакетов.
Наличие этого правило зависит от других правил.
> Легальных пакетов попадающих под это правило быть не может.. о чем вы
> думали когда писали такое??
> А уж об чем думали когда писали
> add 09999 skipto 65000 ip from any to any
> add 65000 pass log all from any to any
> Одному Ходже Насреддину известно...
