OpenForum RSS: ipfilter, мистика https://opennet.me/openforum/vsluhforumID1/77184.html настраиваю ipfilter на freebsd 6.2, дефолтное правило allow all (нужно блок олл, но пересобирать ядро - эт самый самый последний рассматриваемый вариант)<br>пишу такой конфиг:<br>-------ipf.rules------------<br>pass out quick on lo0 all<br>pass in quick on lo0 all<br><br>#local net traffic<br>pass out quick on rl0 all<br>pass in quick on rl0 all<br><br>#icmp<br>pass out quick proto icmp from any to any<br>pass in quick proto icmp from any to any<br><br>#local-&gt;internet<br>pass out quick on rl1 proto tcp from 192.168.70.128/26 to any keep state<br>pass out quick on rl1 proto udp from 192.168.70.128/26 to any keep state<br>block in quick on rl1 from any to 192.168.70.128/26<br><br>#gate-&gt;internet<br>pass out quick on rl1 proto tcp from {ext_ip} to any keep state<br>pass out quick on rl1 proto udp from {ext_ip} to any keep state<br><br>block out on rl1 from any to any<br>block in on rl1 from any to any<br>---------ipnat.rules-------------------<br>rdr rl0 0.0.0.0/0 port 80 -&gt; 192.168.70.138 port 3128<br>rdr rl0 0.0.0.0/0 port 8080 -&gt; 192.168.70.138 port 3128<br>rdr r ipfilter, мистика (Stonecold) https://opennet.me/openforum/vsluhforumID1/77184.html#2 Tue, 06 Nov 2007 09:29:21 GMT &gt;Простейший вариант - включи журналирование опцией log и посмотри какое правило блокирует <br>&gt;и коректируй правила. <br><br>дык ipfstat -ih и так показывает, какое правило срабатывает, я про это написал - срабатывает последнее правило block. но почему оно срабатывает - непонятно, по логике сессия с фтп сервером должна попадать под правило pass out quick on rl1 from {ext_ip} to any keep state - т.к. на шлюзе ipnat проксирует фтп соединения. и исходящий пакет-то спокойно уходит на фтп сервак, а вот ответ уже блокируется :(<br>и еще раз повторю - на другой машине тот же конфиг (кроме последних двух правил) - работает без проблем. в чем же разница между default to block и добвлением правил block in any/ block out any в конец?<br> ipfilter, мистика (Serge) https://opennet.me/openforum/vsluhforumID1/77184.html#1 Tue, 06 Nov 2007 07:01:50 GMT Простейший вариант - включи журналирование опцией log и посмотри какое правило блокирует и коректируй правила.<br>