(fwd) Re: ipfw configuration question

Andrey Gerzhov (kittle@freeland.alex-ua.com)
Thu, 26 Nov 1998 09:36:50 +0200 (EET)

-- forwarded message --
Path: freeland.alex-ua.com!barmaglot.alex-ua.com!not-for-mail
From: Shakal <jackal@barmaglot.alex-ua.com>
Newsgroups: fido.ohb.unix
Subject: Re: ipfw configuration question
Date: 26 Nov 1998 01:07:52 GMT
Organization: Barmaglot inc
Lines: 34
Message-ID: <73i9l8$6sr$1@barmaglot.alex-ua.com>
References: <01be17ad$872236a0$02a8a8c0@hix.adm.nikolaev.ua> <01be17c3$b3a2b900$02a8a8c0@hix.adm.nikolaev.ua> <365BF5A4.19BDF17B@ciam.comtel.ru>
NNTP-Posting-Host: localhost
Mime-Version: 1.0
Content-Type: text/plain; charset=US-ASCII
Content-Transfer-Encoding: 8bit
User-Agent: tin/pre-1.4-980818 ("Laura") (UNIX) (FreeBSD/3.0-CURRENT (i386))
Xref: freeland.alex-ua.com fido.ohb.unix:49

[ This is a repost of the following article: ]
[ From: Sergey Matveychuk <sem@ciam.comtel.ru> ]
[ Subject: Re: ipfw configuration question ]
[ Newsgroups: fido7.ru.unix.bsd ]
[ Message-ID: <365BF5A4.19BDF17B@ciam.comtel.ru> ]

Привет!

Sergey Malenko wrote:

> Вопрос снимается. Проблема была в другом... Другой вопрос: захотел сделать
> так:
> ipfw add 20 allow all from 192.168.168.2 to any
> ipfw add 21 allow all from 192.168.168.3 to any
> ipfw add 30 allow all from 192.168.168.7 to 192.168.168.1
> ipfw add 31 allow all from 192.168.168.8 to 192.168.168.1
> ...
> ipfw add 50 deny all from 192.168.168.0/24 to any
>
> Hе пашет... Правило с маской перекрывает явные правила с меньшим номером
> (20, 21).

А ответы кто получать будет?
Я полагаю, что правильным будет:
ipfw add 20 allow all from 192.168.168.N to any
ipfw add 25 allow all form any to 192.168.168.N

И никакое правило в большим номером не может перектрыть правило с меньшим
номером. Просто машина посылает запрос, который успешно проходит и не
получает ответа, который успешно фильтруется.

-----
Sem.

-- end of forwarded message --

-- 
С тем, что не помешает никогда,
                                               Kittle