URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID3
Нить номер: 39881
[ Назад ]

Исходное сообщение
"Тематический каталог: Заметки об IPFW ( freebsd ipfw firewall nat)"

Отправлено auto_topic , 26-Янв-08 14:33 
Обсуждение статьи тематического каталога: Заметки об IPFW ( freebsd ipfw firewall nat)

Ссылка на текст статьи: http://www.opennet.me/base/net/ipfw_notes.txt.html


Содержание

Сообщения в этом обсуждении
"Заметки об IPFW ( freebsd ipfw firewall nat)"
Отправлено Дмитрий , 26-Янв-08 14:33 
Непонятно.
По тексту:    Замечание 3.Входящие   (IN)   и   исходящие  (OUT)  пакеты  следует  рассматривать относительно   операционной   системы,   а   не  относительно  сетевых интерфейсов.

Далее.
#Роутер у нас или нет?  Давайте разрешим локальным хостам
# свободно лазить во внешнюю сеть.
#Для исходящих пакетов от хостов внутренней сети.
6. {fwcmd} add allow ip from {MyLan} to any in via {iif}

Т.е. дословно правило так: разрешить входящие пакеты в операционную систему через iif от внутренней сети к любым хостам. Т.е. не совсем ладиться с описанием. Может что то напутано, объясните пожалуйста.


"Заметки об IPFW ( freebsd ipfw firewall nat)"
Отправлено Максим , 19-Ноя-08 11:52 
>>Т.е. дословно правило так: разрешить входящие пакеты в операционную систему через iif от внутренней сети к любым хостам. Т.е. не совсем ладиться с описанием. Может что то напутано, объясните пожалуйста.

Все правильно. У нас же все таки роутер :) Т.е. роутер сначала принимает пакеты, потом определяет маршрут, потом отправляет пакеты. Вы забыли, что тут еще есть одна строчка за номером 7:

#Роутер у нас или нет?  Давайте разрешим локальным хостам
# свободно лазить во внешнюю сеть.
#Для исходящих пакетов от хостов внутренней сети.
6. {fwcmd} add allow ip from {MyLan} to any in via {iif}
7.{fwcmd} add allow ip from {MyLan} to any out via {oif}

Дословно (к тому описанию, что Вы дали): разрешить исходящие пакеты из операционной системы через oif от внутренней сети к любым хостам.

Во фразе "пакеты от внутренней сети к любым хостам" имеется в виду пакеты, в заголовках которых указан src-адрес любой из нашей сети, а dst-адрес любой.