[st_re]

Наверное если сервер стоит в 2-х шагах то да можно денай.. а если в соседней стране, а визы нету, то лучше таки accept иметь, на всяк случай...

 

Да и сервисы, у меня по крайней мере, стартую апосля фаервола.

Изменено 6 октября, 2010 пользователем st_re

[denis_vid]

Гуру из города пирогов с глазами возможно хотел указать на тот факт, что за время между стартом сети и загрузкой правил фаервола машинка беззащитна. Вот у Dm1try, к примеру, до дефолтного(разрешающего) правила долетело немножко пакетов. Скипту никаких там нету, которые могли бы пропустить трафик именно к дефолтному правилу.

В фидоэхах в свое время были срачи по поводу дефолтного правила. Аргументация была вида "успеют установиться нежелательные соединения, которые фаервол с keep-state правилами не отрежет. Потому как они уже установились. А с дефолт-правилом deny они не смогут установиться".

Хоть тема ушла в сторону изначально речь шла конкретно о шейпере. Можете представить надежный шейпер ISP с таким дефолтным правилом? Особенно в случае ipfw управляемого по сети. Любая ошибка приведет к попаданию в дефолтное правило. В случае с accept это не шейпящий шейпер ну а deny может привести к тому что абоненты психанут и уйдут к тому у кого accept

Изменено 6 октября, 2010 пользователем denis_vid

[dsk]

В моем случае шейпер совмещен с контроллером доступа, в конце стоит deny для юзерских сетей, у которых по дефолту должно стоять deny. Другое дело, что во первых все завязано на автоматику, отсюда возникают куча моментов касаемо перегрузки правил в файрволе и т.п. В общем в случае автоматики лучше не рисковать, ошибка может стоить дорогого, включая вой и исход на гавно от клиентов. Потом частенько приходится это все админить, находясь в таких захолустьях, что отваливания консоли с местным интернетом это дело привычное, а в подобном режиме администрирования, с параноидальным правилом, сервер можно потерять запросто, а для поднятия ехать за 2-3 тыс. км.

[Ivan_83]

Гуру из города пирогов с глазами возможно хотел указать на тот факт, что за время между стартом сети и загрузкой правил фаервола машинка беззащитна. Вот у Dm1try, к примеру, до дефолтного(разрешающего) правила долетело немножко пакетов. Скипту никаких там нету, которые могли бы пропустить трафик именно к дефолтному правилу.

В фидоэхах в свое время были срачи по поводу дефолтного правила. Аргументация была вида "успеют установиться нежелательные соединения, которые фаервол с keep-state правилами не отрежет. Потому как они уже установились. А с дефолт-правилом deny они не смогут установиться".

Что мешает в скрипт вливающий правила последней строчкой закинуть команду сброса текущих соединений?

 

PF при запуске/выключении все соединения рвёт.

 

 

PS: то что вы описали случилось у меня на ХРсп1 с только что появившимся встроенным фаером: только я задиалапился, как ко мне велчна залезла :)

Я так и понял что это был лаг начала фильтрации.

[Dm1try]

Вот у Dm1try, к примеру, до дефолтного(разрешающего) правила долетело немножко пакетов.

Это потому, что правила делались\переделывались на ходу. Да и при перезагрузке, желательно сократить время простоя абонентов (это роутер\шейпер) - так уж лучше пусть некоторое время без ограничений проработают.

 

P.S> Сервер недоступен из Internet.