|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Spartak Radchenko 2:5020/400 04 Apr 2005 22:38:53
To : All
Subject : Re: Hепонятки с ipfilter в FreeBSD 4.11
--------------------------------------------------------------------------------
Spartak Radchenko <spartak@aif.ru> wrote:
Виновник найден. Hе работает keep state. Вот с таким набором правил
пингуется:
pass in all
pass out proto icmp all
pass out proto tcp/udp all keep state
А вот с таким уже нет:
pass in all
pass out proto icmp all keep state
pass out proto tcp/udp all keep state
Hу и что за <censored>? В 4.8, 4.9 и 4.10 работает. В 4.11 - нет.
Дальнейшая проверка показала, что начиная с 4.11 _обязательно_
надо писать keep state для входящего трафика, если он есть в
правиле для исходящего. Думаю, верно и в обратную сторону, но
проверять пока поленился. Я добавил всюду keep state, но это
совсем не то, чего я хотел. Теперь таблица состояний будет со
страшной силой замусориваться. Обойти это вроде можно, но
гемора будет выше крыши.
Резюме: поведение ipfilter ни с того ни с сего поменялось,
и очень сильно.
Так как, send-pr пора писать?
--
Spartak Radchenko SVR1-RIPE
--- ifmail v.2.15dev5.3
* Origin: Arguments & Facts Weekly (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
