---------
Подразумевается, что вы знакомы с принципом работы стека TCP/IP, а так же прочитали man ipfw
---------Если человек прочитал ман по ipfw, то ему эта статья и даром не нужна.
-----------
Но и эточ можно обойти, потому что в коде IPFIREWALL-a есть маленькая хитрость: если в правиле для upd пакета указать src-ip как 0.0.0.0., то src-port в этом случае будет играть роль номера протокола Ethernet.
-----------Серьёзно ??? А автор статьи патылся это сделать ?
Я конечно могу и ошибаться, но это правило дааааавно уже не работает (сейчас пользую ipfw2, но кажется и в ipfw1 пробывал такое сделать - не вышло). Для работы arp/rarp (ну, если вы захотели вдруг сделать бридж) в ipfw2 нужно следующее правило:
add 0100 allow all from any to any layer2 mac-type arp
> Серьёзно ??? А автор статьи патылся это сделать ?
Помоему, FreeBSD 4.4 была последней, в которой это ещё работало, в 4.7 по крайней мере уже не было :)
>Sergey_A
Предлагаю Вам написать небольшое руководство по настройке ipfw2, думаю многим пригодиться.
а в pf опеновском можно рулить не ip пакетами? извените но только с ним работать начал, ничего незнаю:) спасибо.
Лень =))
а человек вот не поленился, написал
ты б лучше грамотно скоректировал
а я дополнения твои внесу
ругать несложно :)
${ipfw} add allow tcp from $ext_ip $uports to any $Services out xmit $ext_if
${ipfw} add allow tcp from any $for_lan to $int_net $uports in recv $ext_if established
${ipfw} add allow tcp from any $for_vip to $vip_net $uports in recv $ext_if established
${ipfw} add allow tcp from any $for_rout to $ext_ip $uports in recv $ext_if established
Как я понял, отсылаь пакеты могут все, а принимать только разрешённые для них, не проще ли сразу каждому проставить разрешённые пакеты на отправку ?
А не проще ли срузц проверять,