[求助]帮忙解析一条IP过滤的实例

goingchan

下面引用由alanlql在 2004/04/27 04:57pm 发表的内容：
联机帮助中是这么说的：
Apply Stateful Inspection: When this option is enabled, packets are monitored for their state (i.e., whether a packet is the initiating packet or a subsequent packet in an o ...

那个联机帮助只是说监视的特性，而没有说控制的特性，在solwise的那份文档里有比较准确的说明，当然，最后还是要实验的，尽信书不如无书

goingchan

下面引用由xiaohao在 2004/04/27 04:57pm 发表的内容：
谢谢 alanlql  ！
DMZ接口是指哪的接口呢？是做了DMZ的ＰＣ机的接口？
apply stateful inspection：有什么作用呢？什么时候要选它？什么时候不选？

讨论的都是modem上的接口，不过，modem上只有两个物理接口。。。一定要定义DMZ的话。。。只能取巧地使用veth接口了。。。

alanlql

我认为initiating packet就是同步包，而subsequent packet为非同步包。我回去再试试是不是这样。

xiaohao

谢谢高手的解答。
我只是把DMZ理解为透明服务。
就是说内网PC对外网完全开发。
有一些路由器，它的WEB设置就有这一项设置。

goingchan

下面引用由xiaohao在 2004/04/27 05:26pm 发表的内容：
谢谢高手的解答。
我只是把DMZ理解为透明服务。
就是说内网PC对外网完全开发。
有一些路由器，它的WEB设置就有这一项设置。

对于家用级产品，的确可以把DMZ当作透明映射。。。

xiaohao

DMZ，private，和Public放在同一选项里，那么他们是同一类型的。
private和Public的理解都很直观。
就DMZ有点别扭。

goingchan

下面引用由alanlql在 2004/04/27 05:18pm 发表的内容：
我认为initiating packet就是同步包，而subsequent packet为非同步包。我回去再试试是不是这样。

同步包只是指SYN。。。
initiating packet(初始化包)，对于TCP来说，就是SYN和ACK，subsequent packet就是就是没SYN和ACK标志的包，这些概念可在一些防火墙的资料里找到。

alanlql

说到ACK,我的印象中通讯建立的过程好象是这样的:
先由Client发SYN标志数据到SERVER,请求同步,SERVER准备好后就发ACK到CLIENT作为应答.同时SERVER发SYN包到CLIENT,CLIENT再以ACK包应答,从而完成通信握手过程.这个过程完成后,CLIENT到SERVER的连接通道就算是建立了,此后就进行数据专送.