ipfw divert keep-state

VUlik at cz.soluziona.com VUlik at cz.soluziona.com
Thu Jul 27 10:55:26 CEST 2006


> 	Jde-li ti o blokovani prichozich nepatricnych paketu, pak je
zrejme,
> ze
> vyvolenou stranou musi byt strana "vnejsi". Jenze, tady musime na pakety
> aplikovat divert - aby se dostaly do NATu - a protoze na paket lze
> aplikovat pouze jedno pravidlo tak vubec nema smysl uvazovat o
> check-state. Nemuzeme-li pouzit check-state, nema valneho smyslu
> pouzivat keep-state cimz jsme firewall uspesne "odstavovali" na bezny,
> bezestavovy.

A neni zrovna tohle skoda?
> 
	Mozna by se podarilo nejakym zhuverilym zpusobem sesadit dohromady
> konfiguraci, kde by NAT bezel na vnitrnim interface, nebo mozna na
> loopbacku, ve ktere by problem resitelny byl, ale rekl bych, ze to za to
> opravdu nestoji ...

 Jiste mas pravdu, dokazal bych si ale predstavit, ze by existovala
modifikace pravidla divert a mohla by fungovat jako allowdivert a krom
state pravidla by dle routovaci tabulky poznalo pres ktery interface bude
packet odchazet, nicmene takova realita neni a se spokojim i s tim co je
:-) 

Kazdopadne diky za pomoc

V.




More information about the Users-l mailing list