Модератор: vadim64
Всё правильно.mayor писал(а):одно правило для L3 второе для L2Gloft писал(а):Как может срабатывать deny правило если перед ним стоит правило с allow?
Ага, зато до проверки мака дойдут все остальные, не-smb-пакеты. Например arp. ;)Gloft писал(а):В smb пакете есть и ip (l3) и мак (L2).
Правила обрабатываются по порядку, и не в коем случае не отдельно для ip (l3) и мак (L2).
И первое правило у тебя сработает на ip, и пакет на проверку мака не дойдет.
В том-то и дело, что arp-пакеты дойдут до второго правила и на нём зарежутся. Клиент не узнает mac сервера и не отправит пакеты с ипом.Gloft писал(а):Ну дойдут.
Узнает клиент мак сервера, отправит пакет с ипом и сработает правило на ip.
Где я неправ?
Код: Выделить всё
deny ip from any to any 00:50:da:4e:ba:63 dst-port 445,139 via rl0
allow 5 ip from any to me dst-port 445,139 keep-state
Код: Выделить всё
deny ip from any to any 00:50:da:4e:ba:63 dst-port 445,139 via rl0
так точноLizardOfOzz писал(а):Всё правильно.mayor писал(а):одно правило для L3 второе для L2Gloft писал(а):Как может срабатывать deny правило если перед ним стоит правило с allow?
Первый вариант: мак есть в арп-кеше.
При подключении сразу идёт запрос по tcp и нормально проходит.
Второй вариант: мака нет в арп-кеше.
При подключении идёт запрос мака и на этом всё заканчивается, т.к. этот запрос режется запрещающим правилом.