Re: странность.
Здравствуй, Tema.
Friday, April 2, 2004, 8:10:05 PM, you wrote:
TZ> есть такая схема:
TZ> в файрволе прописано вот что:
TZ> ip="172.20.55.194"
TZ> net="172.20.55.0"
TZ> mask="255.255.255.0"
TZ> ${fwcmd} add allow all from ${ip} to any out
TZ> ${fwcmd} add allow all from any to ${ip} in
TZ> ${fwcmd} add pass all from ${net}:${mask} to any out
TZ> ${fwcmd} add pass all from any to ${net}:${mask} in
а Вы не хотите сделать это все на внешнем интерфейсе (имхо
у Вас это ppp0). Например
oif="ppp0"
${fwcmd} add pass all from ${net}:${mask} to any xmit ${oif}
${fwcmd} add pass all from any to ${net}:${mask} recv ${oif}
т.к. имхо дело в том, что входящий на внутреннем интерфейсе
пакет, на внешнем уже есть исходящий.
А вообще, если честно я не вижу смысла в таких правилах, т.к.
фактически они открывают всю внутреннюю сеть, как при
отсутсвии файрвола.
Если Вы хотите разрешить внутренним пользователям устанавилвать
соединения вовне, но запретить устанавливать соединения извне к
машинам внутри сети, используй established, как это делается в
стандартном rc.firewall. Например так
${fwcmd} add pass tcp from any to any established
${fwcmd} add pass tcp from ${net}:${mask} to any setup
или используйте statefull firewall (правила keep-state/check-state).
-*Информационный канал Subscribe.Ru
Написать в лист: mailto:comp.soft.bsd.all-list@subscribe.ru
Отписаться: mailto:comp.soft.bsd.all--unsub@subscribe.ru
http://subscribe.ru/ mailto:ask@subscribe.ru
