Date: Fri, 1 Apr 2005 10:12:15 +0200 (CEST) From: Claus Guttesen <none@cguttesen--yahoo.dk.lh.bsd-dk.dk> Subject: Re: pf og (mangel på) keep state på FreeBSD 5.4 prerelease To: bsd-dk@bsd-dk.dk
> Hvorfor ikke kigge på PF FAQ?
>
> ftp://ftp.openbsd.org/pub/OpenBSD/doc/pf-faq.txt
>
> Det er farligt at gætte på funktionalitet bare fordi
> ordet "state" går igen i både IPFW og PF!
> Hvis du mener PF ikke gør det korrekt må du lave en
> PR på det, men jeg tror nok det er dig der skal lege
> lidt mere med den
> :-)
Som omtalt i tidligere mail, har jeg læst eksemplerne
på openbsd.org's sider. Og vha. følgende to regler
(pr. interface), virker det som ønsket. Reglerne er:
pass out on $ext_if proto tcp all modulate state flags
S/SA
pass out on $ext_if proto { udp, icmp } all keep state
Med fire netkort i brandmuren har jeg otte sådanne
regler.
Det jeg ikke forstår, er at OpenBSD (ellers) er kendt
for sin meget konsekvente holdning til sikkerhed, som
bl.a. bevirker at der har været meget få (root)
exploits i OpenBSD's historie.
At man så - hvad pf angår - af design-mæssige årsager
(fejl), bliver nød til at lave regler, som tillader
*al* udgående trafik fra brandmuren, for at få det til
at flyde, undrer mig. At tillade alt er fint, når du
har din egen lille maskine, men at tillade al udgående
trafik fra brandmuren i et firma, er uforståeligt.
Måske hænger reglerne, jeg bliver nød til at definére,
sammen med indholdet i denne link:
https://solarflux.org/pf-b/?p=15. Her står at "but it
appears that, if floating state is enabled, there’s no
way to prevent PF from passing *some* spoofed packets
...".
Suk!
Tilbagemelding og andre tanker på foroven nævnte
påstande ønskes.
Claus
This archive was generated by hypermail 2b30 : Wed 15 Nov 2006 - 18:24:49 CET