Dotaz: ipwf - povolenie trafiku len cez definovane interfaci

zdravim,

hladam ekvivalent linuxoveho pravidla (iptables) pre freebsd (ipfw) - povol len trafik prichadzajuci z lan siete cez lan interface a odchadzajuci cez wan interface:

iptables -P FORWARD DROP
...
iptables -A FORWARD -i $lan_if -s $lan_net -o $wan_if -j ACCEPT

a teda aby bol blokovany trafik napr. z lan siete do dmz siete.

pravidlo

$ipfw add pass all from ${lan_net} to any in ${lif} out via ${wif} keep-state

zablokuje cely trafik.

ak som spravne pochopil, tak ipfw vyhodnocuje samostatne prichadzajuci a odchadzajuci trafik a teda tie pakety sa k nemu ani nedostatu, pretoze ich zahodi uz pri ich vstupe.

jedno riesenie by bolo implicitne zakazat forward do dmz siete, ale to je neprakticke, pretoze tych sieti tam moze byt xy:

$ipfw add deny all from ${lan_net} to ${dmz_net}
$ipfw add pass all from ${lan_net} to any keep-state

vdaka.