Date: Sun, 7 Nov 2004 21:06:42 +0100 From: Michael Knudsen <none@e--molioner.dk.lh.bsd-dk.dk> To: bsd-dk@bsd-dk.dk Subject: Re: Re: Pf igen igen
Quoting Claus Guttesen (cguttesen@yahoo.dk):
> Jo, det er korrekt at sidste regel vinder, med mindre
> du skriver ordet quick efter 'pass in'. Prøv med 'pass
> in quick on $int_if proto tcp ...'. Så vil brandmuren
> stoppe ved denne linie. Ipfilter bruger samme syntaks.
Jeg synes, at quick goer det svaerere at laese et regelsaet, saa jeg
ville ikke bruge det paa en firewall, hvor faren for overhead i
firewallen er minimal, d.v.s med relativt faa regler eller pakker.
Da det er analogt til dette, vil jeg lige naevne, at man skal huske, at
pakker fra nat- og rdr-regler ogsaa skal passere filtreringsregler, med
mindre man bruger `nat pass' eller `rdr pass'. Hvorfor man ikke har
valgt at bruge `quick' her ogsaa, undrer mig egentlig lidt.
> Men god idé at have en implicit deny all regel.
Paa interfaces hvor det giver mening, ja.
Til hjemmefirewalls filtrerer jeg kun paa det eksterne interface, da det
er nemmere for mig at patche mine maskiner og taenke mig om, end det er
at vurdere, hvad jeg har brug for at sende ud.
-- The Librarian gave him the kind of look other people would reserve for people who said things like `What's so bad about genocide?' -- (Terry Pratchett, Guards! Guards!)
This archive was generated by hypermail 2b30 : Wed 15 Nov 2006 - 18:24:46 CET