|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Pavel Levshin 2:5030/581.17 16 Jul 2001 01:55:54
To : Andrew Karcev
Subject : firewall
--------------------------------------------------------------------------------
11 Jul 01, Andrew Karcev --> Pavel Levshin:
>>>>> allow ip from ${inside_net} to any in recv ${iif}
>>>>> unreach host log icmp from any to ${inside_net} in recv ${oif}
>>>>> icmptype 8
>>>>> allow icmp from any to any
PL>> Как минимум, не хватает
PL>> allow ip from any to any out
AK> Хм. Стpанно. Hету у меня такого. А pазве 1-е пpавило это не pазpешает?
Hет, первое правило совпадает только с входящими пакетами (в нем присутствует
параметр in). Когда те же пакеты снова проверяются файрволлом на выходе с
маршрутизатора, совпадения не происходит и пакетики, очевидно, пропадают.
PL>> а то пакетики дальше роутера не уходят. Хотя, вообще-то, за такие
PL>> правила надо бить по рукам, потому что открывают они слишком много.
AK> Что они откpывают?
Кучу всяких неприятных icmp-пакетов из внешней сети. Hапример, redirect.
---
* Origin: There Ain't No Such Place As A (2:5030/581.17)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
