Назад | Перейти на главную страницу

Уточнение назначения правил проверки связи в конфигурации Shorewall

Я настраиваю shorewall на сервере, и пока дела идут хорошо. Однако меня интересует одна вещь. В файле rules, среди прочего, есть следующие строки:

#
# Drop Ping from the "bad" net zone.. and prevent your log from being flooded..
#

Ping(DROP)      net             $FW

ACCEPT          $FW             loc             icmp
ACCEPT          $FW             net             icmp

Насколько я понимаю, две последние строки позволяют межсетевому экрану проверять связь с машинами как в локальной сети, так и в Интернете. Однако также кажется, что 4-я строка снизу сбрасывает пинги из интернета. Кажется, все строки относятся к пингу. Однако чем ACCEPT [...] icmp отличается от Ping (DROP), или это могло быть написано (я изменил 4-ю строку снизу), как я сделал ниже?

#
# Drop Ping from the "bad" net zone.. and prevent your log from being flooded..
#

DROP            net             $FW             icmp

ACCEPT          $FW             loc             icmp
ACCEPT          $FW             net             icmp

Все подсказки приветствуются!

Файл /usr/share/shorewall/macro.Ping говорит вам то, что вы хотите знать.

"Ping (DROP)" вызывает Ping Макрос Shorewall. В этом случае мы видим, что это влияет на ICMP, предназначенный для порта 8 (помните, что ICMP делает больше, чем просто ping). Чтобы переписать его, вам нужно будет добавить порт назначения 8 в конец вашего правила, но в противном случае он у вас есть.

Взгляните и на некоторые другие файлы макросов. * В этом каталоге - макрос ping тривиален, но некоторые другие становятся немного сложнее и, таким образом, более эффективно демонстрируют полезность макросов в конфигурациях Shorewall.