>>1) Не используй DNS-имена в правилах пакетных фильтров. Из этого
>>правила есть исключение: Можно использовать DNS-имена, если они
>>определены в /etc/hosts.
>
>По каким причинам это делать не желательно? У меня имена ПК стабильные,
>а вот ip могут получать разные.
Посмотри, например, /etc/rc.network:
# Establish ipfilter ruleset as early as possible (best in
# addition to IPFILTER_DEFAULT_BLOCK in the kernel config file)
и посмотри, что делается *после* того, как загружаются правила. Очевидно,
что если firewall настраивается так рано, то ни о каком доступе к DNS-серверам речи идти не может.
Вообще, в любой продуманной системе firewall инициализируется как можно скорее.
>
>>2) Не используй пакетные фильтры для учета трафика. Из этого правила
>>есть исключение: Если речь идет не об отладке правил firewall, или
>>правило firewall служит только "перемычкой" (ipfw's divert, например).
>
>Я использую в IPFilter правила count только для того, чтобы IPA с
>них снимала статистику.
И чего, чем больше хостов, тем больше правил вида "count"?
/poige
--
http://www.i.morning.ru/~poige/