forum.lissyara.su

ip list -> у всех такие правила в концэ листинга:
03400 deny ip from any to any
65535 allow ip from any to any
последний чёто мне не нравится потомучто я в скрипт его не добовлял. и зачем тогда все правила если в конце цепочки всё разрешаем!???

пакет выпадает из файрволла по первому правилу под которое попадает. Если стоит опция про one.pass то после первого реального правила (диверты, и трубы несчитаются)
====
последнее праило зависит от того как собирал ядро - у тебя собрано с дефаулт то ассепт

http://www.lissyara.su/?id=1127 писал(а):options IPFIREWALL_DEFAULT_TO_ACCEPT # дефолтовое правило (последнее)
# будет разрешающим (во всех других)
# случаях - запрещающее

lissyara писал(а):пакет выпадает из файрволла по первому правилу под которое попадает. Если стоит опция про one.pass то после первого реального правила (диверты, и трубы несчитаются)
====
последнее праило зависит от того как собирал ядро - у тебя собрано с дефаулт то ассепт

http://www.lissyara.su/?id=1127 писал(а):options IPFIREWALL_DEFAULT_TO_ACCEPT # дефолтовое правило (последнее)
# будет разрешающим (во всех других)
# случаях - запрещающее

ядро у меня собрано IPFIREWALL_DEFAULT_TO_ACCEPT но без ip_divert !!
explain once again!! ( не догнал хотел почетать в хандбуке но они ешё не перевели
я понимаю так пишим правила те которые нам нужны a всё остальное denay
add ip deny any to any!! и всё, но последнее add allow ip any to any ->> explain!!ну не понел !!

без этого пересобери

add allow ip any to any!! - збрасывает все правила в rc.firewall и позволят всем и всё?

у правил есть порядок. в соответствии с ним они и обрабатываются....

lissyara писал(а):у правил есть порядок. в соответствии с ним они и обрабатываются....

слушай извини !! но тупой я !!
ели грузим модулём то по дефолту становитя add ip deny from any to any!!
а если припояить к ядру ipfirewall + IPFIREWALL_DEFAULT_TO_ACCEPT то будет add ip allow from any to any!!
так я к чему !!! к тому что мне кажется что если пакет не соответствует к правилaм то в конце скрипта он наткнётца на add ip deny from any to any(по твоей статье) и ipfw его заблокирует и пакет не доидёт до add ip allow from any to any, -
IPFIREWALL_DEFAULT_TO_ACCEPT это правило лишнее и нет смысла ставить если перед ним пакеты не соотвествуишии правилом будут блокироваться.

есть файрволл из нескольких правил. просто правил - никаких дивертов труб и прочей лабуды.
приходит пакет. сверху вниз по очереди, тупым перебором, его проверяют - подходит ли он под условие.
если подходит, то с ним делается то, что написано в этом правиле.

====
бывают пакеты (в любом, практически файрволле - хотя можно нормально настроить) которые не подходят ни под одно правило. вот для них и есть последнее правило - что с ними делать - отвергать или принимать.

пасиб вроде ясно!! но всё таки я куплю себе книгу про Firewalls !

lissyara писал(а):есть файрволл из нескольких правил. просто правил - никаких дивертов труб и прочей лабуды

Что за трубы (диверты...понятно) ???

pipe

Понятно