Исходное сообщение
"IPFW порядок составления, прохождения правил с NAT. Пинги." Отправлено Evonder, 06-Май-18 17:27
>> тут как я вижу в основном используется разрешено все и вся, >> и лишь фильтрами убирается запрещенное. >> Какой подход более правильнй? > почитайте про открытый и закрытый тип брандмауэра, > уверяю вас, будет весьма интересно и весьма познавательно > http://www.g0l.ru/blog/htmls/BSDA-course/apes01.html   Я уже разобрался), мне было важно Понять саму схему расстановки правил и заруливания пакетов в nat.       базово выбрал для себя такую схему    первыми идут правила pass from any to any на lo0 и Lan потом 1) заворачиваю в нат все входящие пакеты с in recv $inet 2) разрешающие правила на выход вида    add 10 skipto 1000 udp from x.x.x.x to x.x.x.x 53 xmit $inet 3) Блокирующее правило для всего прочего трафика    add 20 deny all from any to any 4) заворачиваю в нат все исходящие пакеты    add 1000 nat 1 all from any to any OUT   Вот такая схема мне очень понятна.    Только один момент остался немного не ясен, опция one-pass   Если она выключена, то пакет после маскирования в нат снова попадает на цепочку ipfw и каким образом при повторном прохождении этой цепочки он снова не попадает в правило что все заруливается в nat, а если не попадает, то какое правило после нат выпускает наружу его.  Вот в моей цепочке правида pass all from any to any нет в конце, между тем все рабоает очень корректно, по умолчанию сам ipfw правилом 65355 ставит all deny. Как же после нат пакет попадает во внешку?

Ваше сообщение
Имя*:
EMail:	Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	>>> тут как я вижу в основном используется разрешено все и вся, >>> и лишь фильтрами убирается запрещенное. >>> Какой подход более правильнй? >> почитайте про открытый и закрытый тип брандмауэра, >> уверяю вас, будет весьма интересно и весьма познавательно >> http://www.g0l.ru/blog/htmls/BSDA-course/apes01.html > Я уже разобрался), мне было важно Понять саму схему расстановки > правил и заруливания пакетов в nat. > базово выбрал для себя такую схему > первыми идут правила pass from any to any на > lo0 и Lan > потом > 1) заворачиваю в нат все входящие пакеты с in recv $inet > 2) разрешающие правила на выход вида > add 10 skipto 1000 udp from x.x.x.x to x.x.x.x > 53 xmit $inet > 3) Блокирующее правило для всего прочего трафика > add 20 deny all from any to any > 4) заворачиваю в нат все исходящие пакеты > add 1000 nat 1 all from any to any > OUT > Вот такая схема мне очень понятна. > Только один момент остался немного не ясен, опция one-pass > Если она выключена, то пакет после маскирования в нат снова > попадает на цепочку ipfw и каким образом при > повторном прохождении этой цепочки он снова не попадает в правило что все > заруливается в nat, а если не попадает, то какое правило после > нат выпускает наружу его. Вот в моей цепочке правида pass > all from any to any нет в конце, между тем все > рабоает очень корректно, по умолчанию сам ipfw правилом 65355 ставит all > deny. Как же после нат пакет попадает во внешку?
	Введите код, изображенный на картинке: