OpenForum RSS: Помогите пожалуйста с конфигом ipfw (вроде бы работает, но...) https://www.opennet.ru/openforum/vsluhforumID1/85957.html Добрый день.<br>Есть вот такой конфиг, который работает, только после добавления правила allow ip from any to any keep-state<br>Цель, выпустить всех наружу<br>rl0-внешний<br><br>Где косяк?<br><br>00100 24 1200 allow ip from any to any via lo0<br>00200 0 0 deny ip from any to 127.0.0.0/8<br>00300 0 0 deny ip from 127.0.0.0/8 to any<br>00400 0 0 deny ip from 192.168.0.254 to any in via rl0<br>00500 0 0 deny ip from 93.190.226.190 to any in via xl0<br>00600 8 719 deny ip from any to 10.0.0.0/8 via rl0<br>00700 0 0 deny ip from any to 172.16.0.0/12 via rl0<br>00800 16961 1699931 deny ip from any to 192.168.0.0/16 via rl0<br>00900 0 0 deny ip from any to 0.0.0.0/8 via rl0<br>01000 0 0 deny ip from any to 169.254.0.0/16 via rl0<br>01100 0 0 deny ip from any to 192.0.2.0/24 via rl0<br>01200 5 148 deny ip from any to 224.0.0.0/4 via rl0<br>01300 0 0 deny ip from any to 240.0.0.0/4 Помогите пожалуйста с конфигом ipfw (вроде бы работает, но..... (Виталий из Петербурга) https://www.opennet.ru/openforum/vsluhforumID1/85957.html#2 Tue, 14 Jul 2009 17:58:42 GMT &gt;дык всё же работает, что еще нужно :-) ? <br><br>Слишком размыто правило, чтобы мое ЧСВ было успокоено<br><br>&gt;Не хватает правила check-state <br>&gt;косяк "классический" - нет уточнения направления движения пакета, в роутер или из <br>&gt;него, т.е. нет понимания, что пакет проходит файрволл два раза, на <br>&gt;входе и на выходе. В т.ч. требуется понимание того, в какое <br>&gt;место вставлять этот check, потому что неправильное применение приведет к отсутствию <br>&gt;заворачивания пакета на диверт. <br><br>А можно поподробнее?<br><br>&gt;Стандартный rc.firewall многое умеет, советую посмотреть в него. <br><br>Не поверишь, вожусь со стандартным rc.firewall в учебных целях.<br><br>Я правильно понимаю, что мне надо просто вместо keep-state написать check-state<br>Написать via (внутренний интерфейс)?<br> Помогите пожалуйста с конфигом ipfw (вроде бы работает, но..... (PavelR) https://www.opennet.ru/openforum/vsluhforumID1/85957.html#1 Tue, 14 Jul 2009 16:12:02 GMT <br>дык всё же работает, что еще нужно :-) ?<br><br>Не хватает правила check-state<br><br>косяк "классический" - нет уточнения направления движения пакета, в роутер или из него, т.е. нет понимания, что пакет проходит файрволл два раза, на входе и на выходе. В т.ч. требуется понимание того, в какое место вставлять этот check, потому что неправильное применение приведет к отсутствию заворачивания пакета на диверт.<br><br>Стандартный rc.firewall многое умеет, советую посмотреть в него.<br><br>