Date: Thu, 31 Mar 2005 19:02:01 +0200 (CEST) From: Claus Guttesen <none@cguttesen--yahoo.dk.lh.bsd-dk.dk> Subject: Re: pf og (mangel på) keep state på FreeBSD 5.4 prerelease To: bsd-dk@bsd-dk.dk
> Pakken ryger 2 gange igennem. En gang naar den
> ankommer paa $int_if og
> en gang naar den forlader paa $ext_if. Du skal
> derfor vaelge at sende alt
> igennem det ene interface og saa filtrere paa det
> andet.
På ipfilter nøjes du med at lave én regel, hvad enten
det er inder- eller ydersiden, og keep state gør
resten af arbejdet.
At pf skal bruge to regler har jeg lidt svært ved at
tro på, og kan heller ikke finde noget på
openbsd.org's hjemmeside som beskriver dette. Har du
en link som referer til dette?
Jvf.
http://openbsd.org/faq/pf/options.html#state-policy
står der:
set state-policy; floating - states can match packets
on any interface. As long as the packet matches a
state entry it does not matter what interface it's
crossing, it will pass. This is the default.
> ``log'' rules er vejen frem til at finde saadan
> nogle bugs.
Ja, det var derfor jeg så det med tcpdump pflog0.
Hilsen
Claus
This archive was generated by hypermail 2b30 : Wed 15 Nov 2006 - 18:24:49 CET