[FUG-BR] Opcao keep-state do PF

[Matheus Cucoloto]

No FreeBSD 7.0 foi portado o novo PF e no novo PF ele automaticamente
coloca o keep-state

Para tirar essa flag em cada regra adicione  "no state"

Ex:

pass out quick on em0 inet from any to 192.168.10.2 no state queue grp109fxp0
pass in quick on em0 inet from 192.168.10.2 to any no state queue grp109fxp2

Abraços.


On Wed, Oct 1, 2008 at 8:13 AM, Fabiano Carlos Heringer
<bigu em grupoheringer.com.br> wrote:
> Pessoal, alguem poderia me explicar para que serve realmente a opcao
> keep-state no PF?
>
> pelo que entendi eh o seguinte: quando um pacote casa com um regra que
> tem uma opcao keep-state ele cria um estado desse pacote, sendo assim,
> se o pacote retornar ele vai entrar por essa mesma regra, é isso?
>
> Seria o mesmo que colocar as seguintes regras:
>
> pass bla bla bla from x.x.x.x to any
> pass bla bla bla from any to x.x.x.x
>
> so que com o keep-state somente uma regra seria suficiente, pois o
> retorno do pacote seria pela mesma, eh isso mesmo ou to viajando na
> maionese?
>
> O que acontece,
>
> tenho dois servidores aqui, os dois sao identicos no tipo de conexao
> (fazem NAT, tem uma fila em CBQ), acontece que em um deles consigo fazer
> tanto o controle do download, quanto do upload (interfaces interna e
> externa) e no outro servidor nao consigo fazer o upload, e a unica coisa
> que vi diferente nos dois sao o keep-state flags S/SA ..
>
> ai voce me diria, tira o keep-state pra testar...esse eh o problema, nao
> coloquei nenhuma dessas opcoes, o que percebi que a partir de um release
> do FreeBSD ele ja vem por padrao essa opcao nas regras do PF...
>
> e agora? sera que eh isso mesmo que esta dando o problema?
>
> Obrigado
>
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>



-- 
Matheus Cucoloto
System Admin.
Net Admin.