On 8/31/06, Israel Junior <israel@xxxxxxxxxxxxxxxxx> wrote:
Caros amigos da lista,
Nos ultimos dias tenho feito alguns testes com o o pf, e gostaria
de tirar algumas duvidas com a lista, eu li na lista nao me lembro onde mas algum disse
que o pf nao poderia trabalhar com o ipfw, no meu entendimento eu poderia criar as regras
de firewall no ipfw que entendo ser mais rigido, com relacao a filtragem de pacotes
(quando ipfw acha um pacote que bate com a regra ele aplica, a regra e finaliza o
processamento já o pf continua processando até o fim as regras que ele tem,
certo ?) mas o pf tem um
Israel, no pf este comportamento pode ser alterado usando a palavra
"quick" nas regras:
http://www.openbsd.org/faq/pf/filter.html#quick
Onde é dito que: "(...)cada pacote é avaliado contra a política de
regras do início (no topo) para o final. Por default, o pacote é
marcado para passagem livre, sendo que esta marcação pode ser alterada
por qualquer regra, inclusive alterada diversas vezes antes do final
do conjunto de regras. A _última_ regra que o pacote fizer "match" vai
"ganhar". Mas há uma exceção: a opção "quick" em uma regra de
filtragem tem o efeito de cancelar o prosseguimento do processamento
das regras e executa a ação definida na regra especificada. Exemplos:
Errado:
block in on fxp0 proto tcp from any to any port ssh
pass in all
Neste caso, a linha de block pode ser avaliada, mas nunca terá
qualquer efeito, uma vez que é seguida de uma linha que permite a
passagem de tudo.
Melhor:
block in quick on fxp0 proto tcp from any to any port ssh
pass in all
Estas regras são avaliadas de outra forma. Se um pacote "bater"
(match) com a linha de bloqueio, por causa da opção quick, o pacote
será bloqueado, e o restante do conjunto de regras será ignorado."
Em suma, pessoalmente não creio que o ipfw seja necessário na maioria
das implementações de firewall, load balance, NAT etc., se configurado
adequadamente. Para isso é necessário compreender seu funcionamento e
um bom conhecimento de suas características e sintaxe.
Abraço,
Alex
|