レス数が1000を超えています。残念ながら全部は表示しません。

初心者もＯＫ！ FreeBSD質問スレッド その18

965 ：名無しさん＠お腹いっぱい。 ：02/06/20 06:32

>>964
ちみの例の場合で、例えば内側の他のマシンからのパケットに対しては、
ipfw の機構は sis1 からの入力と tun0 への出力の計２回の評価を行う。
再度と言うよりは、man ipfw の Implementation notes（実装に関する注意） に書いてある通りだ。

漏れなりに 938 と同じ事を、逆の観点から言おう。
外からの SYN だけを防いで他のパケットは全部通しておけば、
とりあえづそこそこ安全に目的を達成できる筈だ（大抵は）。
お勧めの選択肢は、何も考えずにとりあえづ外からの setup は防いどくか、
TCP の 3way handshake の類の事を調べるか、深く考えずに幸せになるかの３択だ。

ここからは、漏れの独断と偏見によるお勧めだ。
add allow ip from any to any via lo0 を頭に書くべし。
自分から自分への IP のルール評価が速く終わる。
ちみの 100 のルールを漏れ流に書くと、
add deny log ip from 192.168.0.0/16 to any in via tun0
add deny log ip from any to 192.168.0.0/16 out via tun0
になる。

これ以上はネット板へGO だ。

read.cgi ver5.26+ (01/10/21-)