check-state

[VUlik at cz.soluziona.com]

Zdravím vás,

Stavím poprvé stateful FW a potýkám se s problémem, kteří již někteří z
vás jistě znají. Mám následující ruleset, ale poněkud mě zaráží, že se
pravidlo check-state neztotožní s jediným paketem.


Zapojení je v mezikroku kdy nahrazuji starší FW a vytvářím DMZ A.X Tedy
asi následovně

							|
							|
					|-----------------------|
					|				|

					|em3				|
				------------	      -------------
				|		|
172.A.Y.0/24
			Em2   |		|
			------|	fw	|
	172.A.X.0/24	|		|
				|		|
				-------------
				vlanW	| vlanY	
					|
			172.A.W.0/24

	  			

Přecházejí antispoof role a tak. Žádný NAT.... žádné viditelné dropování,
alespoň dle counterů

02500     0        0 check-state
02600  4776   542670 deny tcp from any to any established
02700     0        0 allow ip from any to any frag
02800    34     3920 allow udp from me to table(53) dst-port 53 out via
em3 keep-state
02900   592    68940 allow udp from 172.A.X./24 to table(53) dst-port 53
in via em2 keep-state
03000     0        0 allow udp from 172.A.Y.24 to table(53) dst-port 53 in
via vlanY keep-state
03100     0        0 allow udp from 172.A.W.0/24 to table(53) dst-port 53
in via vlanW keep-state
03200    38    11307 allow tcp from table(10) to me dst-port 22 in setup
keep-state
03300     0        0 allow tcp from table(10) to 172.A.X.100 dst-port 80
in via em3 setup keep-state
03400 68402 38303106 allow tcp from 172.A.Y.0/24 to 172.A.X.100 dst-port
3128 recv em3 setup keep-state
03500     0        0 allow tcp from 172.A.Z.0/24 to 172.A.X.100 dst-port
3128 recv em3 setup keep-state
03600     0        0 allow tcp from 172.A.W.0/24 to 172.A.X.100 dst-port
3128 in via vlanW setup keep-state
03700 78370 39961234 allow tcp from 172.A.X.100 to any in via em2 setup
keep-state
03800     0        0 allow udp from me to any dst-port 123 keep-state
65535   417    47578 deny ip from any to any
	

Děkuju za pomoc

Vašek