Gloft писал(а):Что то ты тут огород нагородил:
1. Фаервол обрабатывает правила с первого правила до последнего. Если правило срабатывает, то просмотр дальнейшийх правил прекращается. У тебя первое правило разрешающее и не важно что тыт там поставил после него запрето, сработает только оно. Для твоего варианта надо бало правило deny сатвить выше 400 номера. И все бы работало так как ты захотел (ограничил бы доступ РС1 по маку, разрешив всем остальным доступ).
2. Причем тут arp таблица на клиента? Даже если ты там статику пропишешь (статитечкую привязку ip - mac) это никак не повлияет на работу с фаерволом, т.к. или сервер ответит на arp запрос клиента или нет. Если прописать твое правило deny одним из первых то любой тарфик от сервера к клиенту будет блокироваться (с учетом того до него не было разрешающих правил).
3. Неважно когда ты перазагружал клиент сам фаервол, либо есть правила и они работают или их нет и они не работают.
Из тех данных что ты привел у тебя доступ к серверу клиент должен получать.
Насколько я помню синтаксис правил ipfw никаких номеров (цифр) в правиле между allow и ip быть не должно (кусок из твоенго правила: 00400 allow 5 ip ...). Проверь может ты ошибся в наборе правила ипри настройках фаервола. Может я чего то не знаю?
Обьяснить почему у тебя заработал запрет из того, что ты тут описал неполучится не зеная всех правил фаервола.
смотрю в зеркало и начинаю думать что что-то я знаю, еще больше..
Код: Выделить всё
1. Фаервол обрабатывает правила с первого правила до последнего. Если правило срабатывает, то просмотр дальнейшийх правил прекращается. У тебя первое правило разрешающее и не важно что тыт там поставил после него запрето, сработает только оно. .
с логикой соглашусь но ты забыл про модель OSI,(L2 и L3 - работают одновременно и им по барабану твоя очередность правил..
) не сомневайся правила и то что я написал проверены на практически много раз.
Код: Выделить всё
Для твоего варианта надо бало правило deny сатвить выше 400 номера. И все бы работало так как ты захотел (ограничил бы доступ РС1 по маку, разрешив всем остальным доступ)
это понятно, но я не просил о помощи в написании правил просто был такой косяк, хотел узнать очевиден он для других или нет, вижу что всетаки не очевиден
Код: Выделить всё
2. Причем тут arp таблица на клиента? Даже если ты там статику пропишешь (статитечкую привязку ip - mac) это никак не повлияет на работу с фаерволом,
в том то и дело что повлияет и доступ на шары будет, применительно к 2 правилам что я написал для РС1 нужно только знать МАК шлюза куда пакеты слать что и дает ему такую возможность арп запись
Код: Выделить всё
Неважно когда ты перазагружал клиент сам фаервол, либо есть правила и они работают или их нет и они не работают
как показала практика - неверное утверждение
Код: Выделить всё
Из тех данных что ты привел у тебя доступ к серверу клиент должен получать.
какой доступ в 1 и 2 случае я написал выше
Код: Выделить всё
Насколько я помню синтаксис правил ipfw никаких номеров (цифр) в правиле между allow и ip быть не должно (кусок из твоенго правила: 00400 allow 5 ip ...).
не знаеш - есть класная штука
Код: Выделить всё
ipfw set [disable number ...] [enable number ...]
Код: Выделить всё
Обьяснить почему у тебя заработал запрет из того, что ты тут описал неполучится не зеная всех правил фаервола.
не согласен