|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Pavel Vasiliev 2:5020/400 11 Mar 2008 23:14:10
To : Andrey Ostanovsky
Subject : Re: Помогите с маршрутизацией в PF
--------------------------------------------------------------------------------
Andrey Ostanovsky пишет:
> После правила, по которому создается стейт может быть:
>
> - block all в наборе pf правил (этот момент quick помогает обойти).
Погодите - я читал, что pf в первую очередь смотрит в стейты - и если в таблицах
стейтов находит
соответствие - то правила не используются, а пакет сразу пропускается.
Вот выдержка из дока
ttp://house.hcn-strela.ru/BSDCert/BSDA-course/apcs02.html#pf-pf.conf-rule-state
Использование таблицы состояний имеет много преимуществ: от упрощения правил
фильтрации, до
увеличения производительности брандмауэра. Пакетный фильтр может определить
принадлежность пакета
открытому соединению независимо от направления в котором идёт пакет. Это
освобождает от
необходимости написания правил пропускающих ответный трафик. А поскольку пакет
не направляется ни на
какие правила, время прохождения пакета через брандмауэр существенно
уменьшается.
> - запрещающие правила ipf или ipfw.
Это точно исключено - кроме PF больше никаких фильтров нету.
--- ifmail v.2.15dev5.4
* Origin: Demos online service (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
