Date: Thu, 31 Mar 2005 23:33:32 +0200 (CEST) From: Claus Guttesen <none@cguttesen--yahoo.dk.lh.bsd-dk.dk> Subject: Re: pf og (mangel på) keep state på FreeBSD 5.4 prerelease To: bsd-dk@bsd-dk.dk
> Hvorfor ikke kigge på PF FAQ?
> ftp://ftp.openbsd.org/pub/OpenBSD/doc/pf-faq.txt
>
> Det er farligt at gætte på funktionalitet bare fordi
> ordet "state" går igen
> i både IPFW og PF! Hvis du mener PF ikke gør det
> korrekt må du lave en
> PR på det, men jeg tror nok det er dig der skal lege
> lidt mere med den
> :-)
OK, jeg har (atter) set på eksemplerne i faq'en. Jeg
tror jeg ved hvor hunden ligger begravet, på
http://openbsd.org/faq/pf/example1.html står der så
meget som;
Finally, pass traffic out on the external interface:
pass out on $ext_if proto tcp all modulate state flags
S/SA
pass out on $ext_if proto { udp, icmp } all keep state
Disse linier har jeg ikke taget med, fordi jeg
instinktivt ser væk fra sætninger som tillader alt.
Det åbner jo op for alt, hvis nogen kommer ind på
brandmuren.
Dette er min anke hvad pf angår. Men hvis dette er en
egenskab, og ikke en fejl, så mangler jeg den tekniske
indsigt i, hvorfor det forholder sig på denne måde.
Sidder hjemme nu men prøver i morgen, og kommer med en
opdatéring.
På sigt skal jeg sætte to brandmure op med CARP, har
nogen prøvet det i praksis?
Hilsen
Claus
This archive was generated by hypermail 2b30 : Wed 15 Nov 2006 - 18:24:49 CET