[FUG-BR] PF e openbsd :)

Eduardo Alvarenga eduardo.alvarenga em gmail.com
Terça Outubro 10 14:16:14 BRT 2006


Como o PF possui excelente documentação, vou apontar links aonde forem
necessários ok?!

> > > 1) Controle de banda:
> > >     Por exemplo, no ipfw+dummynet crio um pipe ou dois pipes e coloco as regras:
> > >     ipfw add X pipe Y ip from any to IP not layer2
> > >     ipfw add X pipe Z ip from IP to any not layer2
> > >     E boa, o controle de banda jah acontece.
> > >     Pergunta: Como vcs fazem algo parecido no pf?

Você tem que implementas as filas e regras subsequentes com a opção "queue"
[1] http://www.openbsd.org/faq/pf/queueing.html

> > > 2) Layer2:
> > >     No ipfw tenho feito controle de MAC + IP habilitando layer2,
> > > funciona 100%, ou seja, amarro o par ip+mac e barra qualquer outro ip
> > > que tentar usar aquele mac.
> > >     Pegunta: Como fica isso no pf? (Estou querendo saber se o pf faz,
> > > e nao usar o arp -S :)

Para isso você terá que habilitar bridging na sua interface e atribuir
"tags" aos endereços MAC que desejas e assim filtrar as tags no
pf.conf:

[2] http://www.openbsd.org/faq/faq6.html#Bridge
[3] http://www.openbsd.org/faq/pf/tagging.html#ethernet

> > >
> > > 3) FTP + natd:
> > >     No ipfw + natd, nunca tive problemas com ftp atras de nat, ou seja
> > > o cliente ftp atras do nat acessando um server na internet. Porem,
> > > estou tendo um problema terrivel pra fazer isso funcionar num
> > > pf+ftp-proxy (O ftp-proxy jah esta rodando certinho no inetd, o
> > > pf.conf jaht em a regra de rdr para 127.0.0.1:8021, porem, nao
> > > funciona)
> > >     Pergunta: Como vcs tem resolvido isso?

Eu também nunca tive problemas com ftp-proxy a não ser com portas
aleatórias que os servidores remotos pedem que sejam abertas, o que
pode fazer com que a conexão não funcione as vezes.

Recomendo que você dê uma olhada no man do ftp-proxy e também esse link:
[4] http://www.openbsd.org/faq/pf/ftp.html

Note que o comportamento do ftp-proxy mudou desde a versão 3.9 do
OpenBSD, agora usando anchors ao invéz de regras "burras". Verifique
se o FreeBSD já sincronizou esse código e use o link para implementar
a solução que você quer.


Tomei a liberdade e encaminhei esse email também para a fug@, um dia
vai ser útil no histórico :-)


Grande abraço,

-- 
Eduardo Alvarenga


Mais detalhes sobre a lista de discussão freebsd