OpenVPN, IPFW a NAT

Zbyněk Burget zburget at burgnet.cz
Sun Sep 6 11:45:05 CEST 2009

Previous message: OpenVPN, IPFW a NAT
Next message: core dump
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]


Ciernik Tomas napsal(a):
> Zbyněk Burget  wrote / napísal(a):
>> Ciernik Tomas napsal(a):
>>> 02010 skipto 65010 tcp from any to any out via tun3 setup keep-state
>>> 02011 skipto 65010 ip from any to any out via tun3 keep-state
>> ^^^^^^^^^^^^^^^                                      ^^^^^^^^^^^^^^
>>
>> nejsem si jist tim, ze zrovna tohle bude fungovat - nevim, jestli se 
>> pri naslednem check-state provede ten skok
> 
> Bol som v domneni, ze ten check-state nic neurobi - ziadne spojenie este 
> nebolo nadviazane, takze by mal ist dalej na skipto.
> 

keep-state vyrobi dynamicke pravidlo pro tok, jehoz packet pravidlo 
zpracovalo. Check-state pak zkontroluje, zda pro packet existuje takto 
vyrobene dynamicke pravidlo a pokud ano, preda jej tomu dynamickemu 
pravidlu. A ja si nejsem jisty tim, zda jako dynamicke pravidlo pujde 
vytvorit skipto...


>> ...pripadne se vybodnout na stavovy firewall a pouzit firewall 
>> nestavovy. Mimochodem - mas nejaky vazny duvod k pouziti stavoveho 
>> firewallu?
> 
> Ako sa pozeram na logy ani nie, kazdopadne si myslim ze je lepsie 
> povolit len riadne nadviazane spojenia.

Toto lze pro TCP spojeni resit i jenak, nez stavovym firewallem - 
podivej se na volbu "established". Pro UDP samozrejme rozhodovani 
stavovy / nestavovy firewall nema smysl...

Zbynek

Previous message: OpenVPN, IPFW a NAT
Next message: core dump
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

More information about the Users-l mailing list