amper Опубликовано 31 января, 2019 · Жалоба Задача запретить инициирование соединений от сервера к клиенту, при этом оставить возможность инициировать соединения клиентами к серверу. При настройке "forward connection state new" в лог, кроме SYN попадают так же и ACK/PSH/FIN - почему? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TriKS Опубликовано 31 января, 2019 · Жалоба Может потому что помимо форварда есть еще input\output? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
amper Опубликовано 31 января, 2019 · Жалоба Не думаю. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
TriKS Опубликовано 31 января, 2019 · Жалоба и не надо. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
McSea Опубликовано 31 января, 2019 (изменено) · Жалоба 5 hours ago, amper said: Задача запретить инициирование соединений от сервера к клиенту, при этом оставить возможность инициировать соединения клиентами к серверу. accept established, related ниже drop invalid еще ниже accept new от клиентов (к серверу, если прочее не надо) (accept прочее, что надо) в конце drop (все) Изменено 31 января, 2019 пользователем McSea Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
amper Опубликовано 1 февраля, 2019 · Жалоба в drop по прежнему попадают (ACK,PSH) вида SERVER:443 -> CLIENT:43764 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
McSea Опубликовано 1 февраля, 2019 · Жалоба 41 minutes ago, amper said: в drop по прежнему попадают (ACK,PSH) вида SERVER:443 -> CLIENT:43764 А что именно не работает как надо на прикладном уровне ? И хорошо бы "/ip firewall export" увидеть. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...