|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Constantin Stefanov 2:5020/400 05 Aug 2003 10:45:25
To : Denis Sotchenko
Subject : Re: ipfw check-state
--------------------------------------------------------------------------------
Denis Sotchenko wrote:
> VS> Выглядит несколько неинтуитивно. Я привык ориентироваться на номер
> VS> правила, чтобы определить, где оно будет проверяться.
> >> 00100 check-state
> >> 00300 allow udp from any to any keep-state out xmit tun0
> >> 50000 deny ip from any to any in recv tun0
> >> ## Dynamic rules:
> >> 00300 1 214 (T 8, slot 125) <-> udp, 172.16.138.145 1185<->
> >> 172.16.138.120 53
>
> Чтобы выглядело интуитивно - убери check-state вообще.
>
> check-state нужно затем, чтобы первый прошедший пакет создавал
> динамическое правило, но это правило можно было проверять ДО его создания.
> Полезно, например, для просчёта траффика на UDP - весь траффик, кроме
> создавшего правило первого пакета, будет накапливаться в счётчике 300го
> динамического правила. Если такое не надо - смело убирай 100 и будет тебе
> интуитивность. :)
А вот тоже не будет "интуитивно". Если там keep-state несколько, то все
они проверятся, когда встретится первый (т.е. в данном случае на 300
правиле), а не каждый там, где создавался.
А вообще, интуиция хороша при пользовании интуитивно понятными
интерфейсами. Тут же документация есть, в коей все подробно разъяснено.
Интуиция отдыхает.
--
Константин Стефанов
--- ifmail v.2.15dev5
* Origin: Demos online service (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
