>>limit
>>option, then ipfw assumes a stateful behaviour, i.e., upon a match it
>>
>>will create dynamic rules matching the exact parameters (addresses and
>>ports) of the matching packet.
>>
>
>Просто я не понимаю, как connection, т.е. соденинение применимо к udp или
>icmp? Каким образом работает подобное ограничение? Вы сами-то пробовали то, что
>советуете? Естественно.
/sbin/ipfw -d show | more
...
10200 1 144 (9s) STATE udp xxx.yyy.mmm.6 51915 <-> xxx.yyy.zzz.2 53
...
ipfw не управляет TCP соединением , он только контролирует последовательность
флагов в передаваемых пакетах, назначение портов и направление пакетов между src и dst .
Аналогично для UDP, контролируются дейтаграммы между src и dst.
Задав в правиле keep-state для пакета udp 53 (dns), который следует к
DNS серверу, тем самым создадим динамическое правило для udp ответа от DNS сервера.
Правило check-state проверит допустимость пропуска ответ от DNS сервера
уже в динамических правилах ipfw .
Аналогичные динамические правила создаются для правил с limit .
Обычный stateful файрвол.