https://217.65.3.21/openforum/vsluhforumID1/93388.html Здравствуйте. <br>Кусок конфига ipfw.conf. Вопрос касательно правила 240: входящий icmp (ping) на внешней сетевухе.<br><br>#$cmd 199 check-state<br><br>$cmd 200 allow ip from $lan to $int_if in via em1 $ks<br>$cmd 210 allow ip from $int_if to $lan out via em1 $ks<br><br>#$cmd 220 allow tcp from me to any out via em0<br>#$cmd 221 allow udp from me to any out via em0 $ks<br>#$cmd 223 allow icmp from me to any out via em0 $ks<br><br>$cmd 230 allow tcp from any to me 22 via em0 setup $ks<br>$cmd 240 allow icmp from any to me icmptypes 3,4,8,11 in via em0 $ks<br>#$cmd 250 deny icmp from me to any out via em0<br><br><br>ipfw nat 1 config if em0 log deny_in same_ports<br>$cmd 320 nat 1 ip from $lan to not me out xmit em0<br>$cmd 330 nat 1 ip from any to $ext_if in recv em0<br><br>$cmd 340 allow ip from any to any<br><br>$cmd 65534 deny all from any to any<br><br>Если запретить все исходящее с внешней сетевухи от самого сервера, а в правиле 240 убрать keep state, то по-идее эхо-ответа не должно быть, но он есть, сервер "из мира" пингуется, т.к. страбатывает правило https://217.65.3.21/openforum/vsluhforumID1/93388.html#3 Mon, 21 May 2012 03:52:34 GMT &gt;&gt; очередной изобретатель велосипеда, который вместо чтения доков предпочитает метод тыка <br>&gt;&gt; ...<br>&gt; Ну так тыкни где я не прав.<br><br>ты не прав уже с оформления вопроса ))<br>зачем вываливать кучу строк, половина которых коменты, вторая содержит непонятного содержания переменные?<br>научись формулировать вопросы и ты найдешь ответы в мане - ipfw обсосан со всех сторон<br> https://217.65.3.21/openforum/vsluhforumID1/93388.html#2 Sun, 20 May 2012 18:49:31 GMT &gt; очередной изобретатель велосипеда, который вместо чтения доков предпочитает метод тыка <br>&gt; ...<br><br> Ну так тыкни где я не прав.<br><br> https://217.65.3.21/openforum/vsluhforumID1/93388.html#1 Sun, 20 May 2012 18:30:47 GMT очередной изобретатель велосипеда, который вместо чтения доков предпочитает метод тыка ...<br>