Набор правил IPFW
С помощью правил можно разрешить или запретить прохождение пакета, основываясь на значениях, содержащихся в его заголовках. Понятие сессии означает двунаправленный обмен пакетами между хостами. С точки зрения сессии можно считать, что набор правил пакетного фильтра обрабатывает пакет дважды: один раз — когда тот поступает на внешний интерфейс, и второй — когда покидает хост через данный интерфейс. Каждый tcp/ip сервис (например, telnet, www, mail и т.п.) определяется своим протоколом и номером порта. Это является базовым критерием при создании правил, которые разрешают или запрещают сервис.
Когда пакет поступает в пакетный фильтр, он сравнивается с первым правилом в наборе правил и затем продвигается сверху вниз по набору в порядке возрастания номеров правил. Если пакет соответствует параметрам правила, выполняется действие, указанное в правиле, и для данного пакета обработка завершается. Это называется методом поиска "первое найденное соответствие". Если пакет не соответствует никакому из правил, он обрабатывается правилом по умолчанию, обязательным для IPFW, с номером 65535, которое запрещает все пакеты, т.е. отбрасывает этот пакет без какого-либо ответа отправителю.
Замечание. Поиск продолжается после count, skipto и tee правил.
Инструкции, указанные здесь, являются основой при использовании правил, которые содержат опции поддержки состояния keep state, limit, in или out. Это является основой для создания включающего (inclusive) типа набора правил пакетного фильтра.
Включающий пакетный фильтр разрешает только те сервисы, которые соответствуют правилам.
