Легенда:
 новое сообщение
 закрытая нитка
 новое сообщение
 в закрытой нитке
 старое сообщение
|
- Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
- Новичкам также крайне полезно ознакомиться с данным документом.
Re: NKritsky ИМХО 09.06.03 11:31 Число просмотров: 1160
Автор: whiletrue <Роман> Статус: Elderman
Отредактировано 09.06.03 11:36 Количество правок: 1
|
> > Только для ftp такая фишка не работает :( Почему?
> А это потому что в $ftp у тебя включены и 21 и 20 порты.
> Соединение с 21 портом - исходящее, а с 20-м - входящее.
Ну и что? Я же их оба и туда и сюда пропускаю.
Пробовал менять только для 20 - estblished или только для 21- estblished - не работает. Наверное, по этому поводу лучше доку почитать...
> > > Примечание. Почему бы не написать одно правило
> > > pass tcp from any to any established
> > > и убрать кучу отдельных правил на эту же тему?
> >
> > Не понял, разъясни на каких-нибудь моих правилах.
> Например, вместо правил 802,1201,1204 поставить одно
> правило
> 690 pass tcp from any to any establsihed
> Но это дело вкуса.
> Кстати, если ты хочешь, чтобы твои юзеры могли делать
> passive ftp, имеет смысл добавить в diverted_ports порты
> 4000-65535. Если это не нарушает полиси доступа к инету.
> Кстати почему ты ограничил количесетво diverted_ports?
> Почему не написал
> ${fwcmd} add 601 divert natd tcp from any to me in recv
> ${oif}
> ${fwcmd} add 602 divert natd tcp from ${own_net} to any out
> xmit ${oif}
Ну, я хочу сделать "глухо, как в танке", т.е. пропускать только нужное aka полный контроль. Поэтому и прошу покритиковать.
А так получится, что я лишнее пропущу.
|
|
|
подробно о проекте
Анализ криптографических сетевых...
