Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Re: NKritsky ИМХО 06.06.03 17:10 Число просмотров: 1281
Автор: NKritsky <Nickolay A. Kritsky> Статус: Elderman
|
> >Вот мои ИМХО:
> >Следующие два правила ИМХО лишние и даже вредные.
> >>${fwcmd} add pass tcp from me to any
> ${diverted_ports} out xmit ${oif}
> >>${fwcmd} add pass tcp from any ${diverted_ports} to
> ${own_net} in recv ${oif}
>
> Без них нат не работает. До ната - нужно обязательно пакет
> пропустить.
> Может как-то по-другому можно?..
>
Прошу прощения, я ошибся. Действительно они нужны.
> 2. Спасибо, исправил, см. пост "Вот это критикуйте, плз".
> Только для ftp такая фишка не работает :( Почему?
А это потому что в $ftp у тебя включены и 21 и 20 порты. Соединение с 21 портом - исходящее, а с 20-м - входящее.
> > Примечание. Почему бы не написать одно правило
> > pass tcp from any to any established
> > и убрать кучу отдельных правил на эту же тему?
>
> Не понял, разъясни на каких-нибудь моих правилах.
Например, вместо правил 802,1201,1204 поставить одно правило
690 pass tcp from any to any establsihed
Но это дело вкуса.
Кстати, если ты хочешь, чтобы твои юзеры могли делать passive ftp, имеет смысл добавить в diverted_ports порты 4000-65535. Если это не нарушает полиси доступа к инету. Кстати почему ты ограничил количесетво diverted_ports? Почему не написал
${fwcmd} add 601 divert natd tcp from any to me in recv ${oif}
${fwcmd} add 602 divert natd tcp from ${own_net} to any out xmit ${oif}
|
|
|
подробно о проекте
Анализ криптографических сетевых...
