Чем отличаетсяallow tcp from any to 10.115.34.190 dst-port 22
от
allow tcp from any 22 to 10.115.34.190
Если ничем, то почему второй вариант не работает?
Заранее спасибо.
>Чем отличается
>
>allow tcp from any to 10.115.34.190 dst-port 22
>
>от
>
>allow tcp from any 22 to 10.115.34.190
>
>Если ничем, то почему второй вариант не работает?
>Заранее спасибо.во втором варианте к вам должны коннектиться (то есть порт источника) с 22 порта.
>во втором варианте к вам должны коннектиться (то есть порт источника) с
>22 порта.спасибо, ну а вот это почему не работает?
allow tcp from 192.168.0.57 80,25,110,5190,443 to any via rl1# rl1 - local interface
>>во втором варианте к вам должны коннектиться (то есть порт источника) с
>>22 порта.
>
>спасибо, ну а вот это почему не работает?
>allow tcp from 192.168.0.57 80,25,110,5190,443 to any via rl1
>
># rl1 - local interfaceНапиши.
allow tcp from 192.169.0.57 80,25,110,5190,443 to any out via rl0 setup keep-state
Будет работать.
>[оверквотинг удален]
>>allow tcp from 192.168.0.57 80,25,110,5190,443 to any via rl1
>>
>># rl1 - local interface
>
>Напиши.
>
>allow tcp from 192.169.0.57 80,25,110,5190,443 to any out via rl0 setup keep-state
>
>
>Будет работать.Ошися rl1
>Напиши.
>
>allow tcp from 192.169.0.57 80,25,110,5190,443 to any out via rl0 setup keep-state
>
>
>Будет работать.а что такое setup keep-state ?
и почему не работает мой вариант, логически кажется правильно.
у меня есть 2 правила
00204 allow tcp from 192.168.0.138 80,25,110,5190,443 to any via rl1 setup keep-state
и
00800 allow tcp from 192.168.0.138 to not 192.168.0.0/24 in via rl1
по первому трафик не идет, а по второму идет.что опять не так делаю?
не удаляю второе потому как нельзя прирывать прохождение трафика для данного апи.
>[оверквотинг удален]
>
>и
>00800 allow tcp from 192.168.0.138 to not 192.168.0.0/24 in via rl1
>
>
>по первому трафик не идет, а по второму идет.
>
>что опять не так делаю?
>не удаляю второе потому как нельзя прирывать прохождение трафика для данного апи.
>А что ты в итоге хочеш получить?
>[оверквотинг удален]
>
>и
>00800 allow tcp from 192.168.0.138 to not 192.168.0.0/24 in via rl1
>
>
>по первому трафик не идет, а по второму идет.
>
>что опять не так делаю?
>не удаляю второе потому как нельзя прирывать прохождение трафика для данного апи.
>Как вариант - поставить самым первым правилом
00001 check-state
и тогда правило
00204 allow tcp from 192.168.0.138 to any via 80,25,110,5190,443 rl1 setup keep-state
заработает (keep-state указывает, что файрвол должен сам создать динамические правила для поддержки этого соединения).
Только посмотрите, я несколько исправил 204 правило, т.к. скорее всего подразумевалось, что клиент не с портов 80,25 и т.д. должен коннектиться, а наоборот - клиент должен коннектиться на эти порты (иметь доступ к почте, WWW, оскопленному ICQ и пр.)