From: "Tue Topholm" <none@tt--device.dk.lh.bsd-dk.dk> To: <none@bsd-dk--bsd-dk.dk.lh.bsd-dk.dk> Subject: pf og pass Date: Wed, 3 Nov 2004 20:27:05 +0100
Jeg har de her regler I min pf.conf:
pass in quick on rl0 all
pass out quick on rl0 all
block drop in log on vr0 all
pass in on vr0 inet proto tcp from any to 1.2.3.4 port = www keep state
pass out on vr0 inet proto tcp from any to 1.2.3.4 port = www keep state
pass in on vr0 inet proto tcp from any to 1.2.3.4 port = 5900 keep state
pass in on vr0 inet proto udp from any to 1.2.3.4 port = 5900 keep state
pass out on vr0 inet proto tcp from any to1.2.3.4 port = 5900 keep state
pass out on vr0 inet proto tcp from any to 1.2.3.4 port = 5900 keep state
og umiddelbart er der et par fejl:
pass out on vr0 inet proto tcp from any to 1.2.3.4 port = www keep state
pass out on vr0 inet proto tcp from any to1.2.3.4 port = 5900 keep state
pass out on vr0 inet proto tcp from any to 1.2.3.4 port = 5900 keep state
De ovenstående burde jo ikke du.
Mit spørgsmål er så:
Hvorfor hvis jeg gå på webserveren (www), at jeg kan få en pakke tilbage,
når jeg kun har åbnet indgående og ikke udgåendende..
De linier jeg har fejl skulle have åbnet dem op til udgående, men den gør
det jo alligevel. Troede jeg skulle både åbne ind og udgående.
Også lige et spg. mere.
Kan det betale at bruge modulate state i stedet for keep state.
/Tue
This archive was generated by hypermail 2b30 : Wed 15 Nov 2006 - 18:24:46 CET