[FUG-BR] Duvidas com PF

[Diogo Dalfovo]

Boa Tarde Pessoal!!


Estou refazendo o meu PF e surgiram algumas duvidas em relação ao bloqueio
e liberação, vamos la:

tenho como padrao bloquear tudo que entra:
#set block-policy drop
set block-policy return

#bloqueia tudo por padrao
block in log all

e depois eu libero o icmp por exemplo
#teste
pass in log quick on $int_if proto icmp from $lan_net to $ip_firewall

ele vai pingar sem problemas, agora quando eu comento essa regra do icmp ou
coloco block no lugar do pass e do um pfctl -f /etc/pf.conf  no
monitoramento do pftop ele "desaparece" mas continua o ping
agora se eu depois de comentar a regra eu desabilitar e reabilitar o PF o
bloqueio funciona. Pergunta:
Existe alguma forma de fazer essa liberaçao e bloqueio sem que seja
necessario parar e iniciar o PF? apenas usando o pfctl?

Eu imagino o seguinte, estou recebendo um brute-force por exemplo se eu
bloquear esse IP que ja tem uma sessao aberta no meu firewall so vou ter
resultado se eu desabilitar e habilitar o PF?



Segunda duvida.
Estava lendo sobre o reply-to, configurei a tabela FIB para eu ter dois
gateways OI/BRT e Embratel preciso que tudo que venha por um link volte
pelo mesmo link ai que entra a duvida. Faço isso na regra de entrada da
interface com o reply-to ou existe outra forma?

#Link OI/BRT
pass in log on $ext_if1 reply-to ($ext_if1 ($ext_if1)) inet proto tcp \
    from any to any port { ssh } \
    (max-src-conn 10, max-src-conn-rate 5/3, \
    overload <bruteforce> flush global)

#Link Embratel
pass in log on $ext_if2 reply-to ($ext_if2 ($ext_if2)) inet proto tcp \
    from any to any port { ssh } \
    (max-src-conn 10, max-src-conn-rate 5/3, \
    overload <bruteforce> flush global)


Diogo Dalfovo