|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Anton V. Yuzhaninov 2:5020/400 03 Oct 2004 09:00:11
To : Anton Barabanov
Subject : Re: Прокомментируйте пожалуйста
--------------------------------------------------------------------------------
Hello, Anton!
You wrote to Anton V. Yuzhaninov on Sat, 02 Oct 2004 21:19:42 +0400:
AVY>> Лучше применять stateful правила.
AB> Поясни пожалуйста.
Когда идет запрос к серверу создается динамическое правило, которое пусает
трафик в обоих направлениях (т. е. ответ от сервера тоже пропустит) и удаляется
в случае udp по таймауту.
man ipfw
/stateful
или здесь немного есть: http://www.opennet.ru/base/net/ipfw_guide.txt.html
В правилах
allow udp from me to any 53
allow udp from any 53 to me
есть существенный недостаток - разрешая ответы от днс сервера ты разрешаешь
доступ к себе на любой udp-порт если отправитель выставл у себя srp-порт 53.
AB>>> map rl0 192.168.10.0/24 -> 195.195.95.5/24
AB>>> И для чего необходимо указывать маску исходящего интерфейса?
AVY>> Маску /24 можно указывать если тебе пров выделил сетку С реальных
AVY>> адрересов. Если только один нужно указывать /32
AB> То есть в приведённом примере каждый внутренний адрес транслируется в
AB> соответствующий внешний? 192.168.10.1 в 195.195.95.1, 192.168.10.2
AB> 195.195.95.2 и т.д.?
Я так понимаю дополнительные адреса задействуются только в случае совпадения
src-портов.
AB> А если на выходе /32, то все будут в 195.195.95.5?
Да.
--
Anton V. Yuzhaninov, citrin#mail.ru
Отправлено через сервер Форумы@mail.ru - http://talk.mail.ru
--- ifmail v.2.15dev5.3
* Origin: MSTU n. a. Bauman (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
Re: Прокомментируйте пожалуйста 