Добрый день всем!

Обнаружил ещё одну странность ipfilter-а на FreeBSD 8.2.

Была задача: отрыть доступ на нестандартный http порт 8101 - добавил в ipf.rules правило:

pass out quick on dc0 proto tcp from any to any port = 8101 flags S keep state

Результат: ок

Теперь делаю тест: удаляю правило для 8101 порта и пишу общее правило:

pass out log first quick on dc0 all

Результаты:

1) Соединение - тайм аут
2) в лог файле (/var/log/ipfilter.log) нет никаких записей для попыток соединения по 8101 порту - ни разрешённых, ни пропущенных.

Тем не менее, аналогичные правила для внутреннего и loop-интерфейсов работают корректно:

pass out quick on dc1 all
pass out quick on lo0 all

Данная проблема возникает и при доступе из локальной сети за шлюзом, и с самого FreeBSD-шлюза (в независимости от параметра log first).

Вопрос: почему может не работать правило " pass out log first quick on dc0 all " ?

Заранее всем спасибо!

...извиняюсь за вопрос: тут всё просто: pass out all ... одностороннее (не statefull) !!!