Привет всем!!!
Привожу свои правила ipfw (FreeBSD4.4). Для посчета траффика использую IPA, но возникают проблемы. Итак-

Локалка 192.168.1.0/24
FreeBSD LanIN 192.168.1.250
VPN(mpd) выдает 10.0.0.0/24
FreeBSD LanOUT 10.10.10.250
defaultrouter 10.10.10.50

После правила 9.1 идут правила для пользователей вида

allow all from 10.0.0.x to any
allow all from any to 10.0.0.x

Именно на них и смотрит IPA. С юзерами все впорядке. Но вот где мне лучше отследить весь входящий траффик??? Для подсчета всего входящего траффика IPA висит на правиле 6.2.
Я прав(это правило сосчитает весь входящий траффик)???

А вообще хотелось бы услышать ваше мнение о правилах или советов как можно сделать лучше.

Жду ваших советов.

Ну и сами правила

${fwcmd} flush
${fwcmd} add 1 pass all from any to any via lo0
${fwcmd} add 2.0 pass tcp from 192.168.1.250 ssh to 192.168.1.232 out via ${LanIn}
${fwcmd} add 2.1 pass tcp from 192.168.1.232 to 192.168.1.250 ssh in via ${LanIn}
${fwcmd} add 2.2 pass tcp from 192.168.1.250 ssh to 192.168.1.231 out via ${LanIn}
${fwcmd} add 2.3 pass tcp from 192.168.1.231 to 192.168.1.250 ssh in via ${LanIn}
${fwcmd} add 3.0 allow tcp from 192.168.1.0/24 to 192.168.1.250 1723 in via ${LanIn}
${fwcmd} add 3.1 allow tcp from 192.168.1.250 1723 to 192.168.1.0/24 out via ${LanIn}
${fwcmd} add 3.2 allow gre from 192.168.1.0/24 to 192.168.1.250 via ${LanIn}
${fwcmd} add 3.3 allow gre from 192.168.1.250 to 192.168.1.0/24 via ${LanIn}
${fwcmd} add 4.0 pass tcp from 192.168.1.250 3306 to 192.168.1.0/24 out via ${LanIn}
${fwcmd} add 4.1 pass tcp from 192.168.1.0/24 to 192.168.1.250 3306 in via ${LanIn}
${fwcmd} add 5.0 pass icmp from 192.168.1.250 to 192.168.1.0/24 out via ${LanIn}
${fwcmd} add 5.1 pass icmp from 192.168.1.0/24 to 192.168.1.250 in via ${LanIn}
${fwcmd} add 5.2 allow icmp from 10.10.10.250 to 10.10.10.50 out via ${LanOut}
${fwcmd} add 5.3 allow icmp from 10.10.10.50 to 10.10.10.250 in via ${LanOut}
${fwcmd} add 6.0 fwd 127.0.0.1,3128 tcp from 10.0.0.0/24 to any http out via ${LanOut}
${fwcmd} add 6.1 divert natd ip from any to any out via ${LanOut}
${fwcmd} add 6.2 divert natd ip from any to any in via ${LanOut}
${fwcmd} add 7.0 deny log tcp from any to me 20,21,22,25,3306,3128
${fwcmd} add 8.0 allow udp from 10.10.10.250 to any 53 out via ${LanOut}
${fwcmd} add 8.1 allow tcp from 10.10.10.250 to any 20,21,25,80,110,280,443,488,563,777 out via ${LanOut}
${fwcmd} add 8.2 allow tcp from 10.10.10.250 to any 1024-65535 out via ${LanOut}
${fwcmd} add 8.3 allow udp from 10.10.10.250 to any 1024-65535 out via ${LanOut}
${fwcmd} add 9.0 allow udp from any to 10.10.10.250 53 in via ${LanOut}
${fwcmd} add 9.1 allow tcp from any to 10.10.10.250 20,21,80,110,280,443,488,563,777 in via ${LanOut}

${fwcmd} add 65533 deny all from any to any out via ${LanOut}
${fwcmd} add 65534 deny log all from any to any in via ${LanOut}

• Правила, Ahiles, 18:35 , 17-Авг-04, (1)
  • Правила, 1Serega, 18:50 , 17-Авг-04, (2)
    • Правила, 1Serega, 15:28 , 18-Авг-04, (3)