Я настраиваю shorewall на сервере, и пока дела идут хорошо. Однако меня интересует одна вещь. В файле rules, среди прочего, есть следующие строки:
#
# Drop Ping from the "bad" net zone.. and prevent your log from being flooded..
#
Ping(DROP) net $FW
ACCEPT $FW loc icmp
ACCEPT $FW net icmp
Насколько я понимаю, две последние строки позволяют межсетевому экрану проверять связь с машинами как в локальной сети, так и в Интернете. Однако также кажется, что 4-я строка снизу сбрасывает пинги из интернета. Кажется, все строки относятся к пингу. Однако чем ACCEPT [...] icmp отличается от Ping (DROP), или это могло быть написано (я изменил 4-ю строку снизу), как я сделал ниже?
#
# Drop Ping from the "bad" net zone.. and prevent your log from being flooded..
#
DROP net $FW icmp
ACCEPT $FW loc icmp
ACCEPT $FW net icmp
Все подсказки приветствуются!
Файл /usr/share/shorewall/macro.Ping
говорит вам то, что вы хотите знать.
"Ping (DROP)" вызывает Ping Макрос Shorewall. В этом случае мы видим, что это влияет на ICMP, предназначенный для порта 8 (помните, что ICMP делает больше, чем просто ping). Чтобы переписать его, вам нужно будет добавить порт назначения 8 в конец вашего правила, но в противном случае он у вас есть.
Взгляните и на некоторые другие файлы макросов. * В этом каталоге - макрос ping тривиален, но некоторые другие становятся немного сложнее и, таким образом, более эффективно демонстрируют полезность макросов в конфигурациях Shorewall.