Re: [inet-admins] acl ... established?

[Dmitry Valdov <dv@dv.ru>]

Hi!

при acl, вида:
permit tcp any any established
deny tcp any host myhost eq verysecureport
...

Я смогу послать снаружи на myhost:verysecureport tcp пакеты с признаком 
established. В случа, если established будет в конце acl - не смогу. 

Dmitry.


On Tue, 8 Jan 2002, Andy Igoshin wrote:

> Date: Tue, 08 Jan 2002 10:50:27 +0300
> From: Andy Igoshin <ai@vsu.ru>
> Reply-To: inet-admins@info.east.ru
> To: inet-admins@info.east.ru
> Subject: Re: [inet-admins] acl ... established?
> 
> Dmitri Kalintsev wrote:
> > 
> > On Mon, Jan 07, 2002 at 04:34:55PM +0300, Andy Igoshin wrote:
> > > Hi!
> > >
> > > Несколько раз встречал упоминание, что established не надо ставить в
> > > начало acl.
> > > Вопрос - почему? Вроде как в начале ему самое место.
> > 
> > Потому, что обработка листов прекращается после мэтча.
> 
> Я в курсе. И?
> Соединения уже установлены, т.е. один раз проверились по листу.
> 
> 
> -- 
> Andy Igoshin <ai@vsu.ru>
> Phone: +7 0732 522406                    Voronezh State University
> Fax:   +7 0732 789820                    Network Operation Center
> CA:    http://noc.vsu.ru/ca/             Voronezh, Russia
> 
> =============================================================================
> "inet-admins" Internet access mailing list. Maintained by East Connection ISP.
> Mail "unsubscribe inet-admins" to Majordomo@info.east.ru if you want to quit.
> Archive is accessible on http://info.east.ru/rus/inetadm.html
> 


=============================================================================
"inet-admins" Internet access mailing list. Maintained by East Connection ISP.
Mail "unsubscribe inet-admins" to Majordomo@info.east.ru if you want to quit.
Archive is accessible on http://info.east.ru/rus/inetadm.html