[FUG-BR] Duvidas com PF

Luiz Gustavo luizgustavo em luizgustavo.pro.br
Quarta Dezembro 7 15:47:26 BRST 2011 

Buenas,

A primeira dúvida tá parecendo tabela de estado.

talvez se você tentar limpar a tabela com o comando:

pfctl -Fs

Em relação a segunda dúvida, para o uso de reply-to/route-to você não
precisa usar a tabela FIB, o próprio pf faz o roteamento.

no caso ai, eu não sei se já tem ou não nas suas regras, mas você
precisa especificar a saida dos links, tipo:

pass out quick on $if_link1 route-to ($if_link1 $gw_link1) from any to
$if_link2
pass out quick on $if_link2 route-to ($if_link2 $gw_link2) from any to
$if_link1

*** Eu fiz de cabeça, não sei se é exatamente assim, mas é mais para
entendimento (to sem tempo aqui pra pegar cola).

abços

Em Qua, 2011-12-07 às 15:31 -0200, Diogo Dalfovo escreveu:
> Boa Tarde Pessoal!!
> 
> 
> Estou refazendo o meu PF e surgiram algumas duvidas em relação ao bloqueio
> e liberação, vamos la:
> 
> tenho como padrao bloquear tudo que entra:
> #set block-policy drop
> set block-policy return
> 
> #bloqueia tudo por padrao
> block in log all
> 
> e depois eu libero o icmp por exemplo
> #teste
> pass in log quick on $int_if proto icmp from $lan_net to $ip_firewall
> 
> ele vai pingar sem problemas, agora quando eu comento essa regra do icmp ou
> coloco block no lugar do pass e do um pfctl -f /etc/pf.conf  no
> monitoramento do pftop ele "desaparece" mas continua o ping
> agora se eu depois de comentar a regra eu desabilitar e reabilitar o PF o
> bloqueio funciona. Pergunta:
> Existe alguma forma de fazer essa liberaçao e bloqueio sem que seja
> necessario parar e iniciar o PF? apenas usando o pfctl?
> 
> Eu imagino o seguinte, estou recebendo um brute-force por exemplo se eu
> bloquear esse IP que ja tem uma sessao aberta no meu firewall so vou ter
> resultado se eu desabilitar e habilitar o PF?
> 
> 
> 
> Segunda duvida.
> Estava lendo sobre o reply-to, configurei a tabela FIB para eu ter dois
> gateways OI/BRT e Embratel preciso que tudo que venha por um link volte
> pelo mesmo link ai que entra a duvida. Faço isso na regra de entrada da
> interface com o reply-to ou existe outra forma?
> 
> #Link OI/BRT
> pass in log on $ext_if1 reply-to ($ext_if1 ($ext_if1)) inet proto tcp \
>     from any to any port { ssh } \
>     (max-src-conn 10, max-src-conn-rate 5/3, \
>     overload <bruteforce> flush global)
> 
> #Link Embratel
> pass in log on $ext_if2 reply-to ($ext_if2 ($ext_if2)) inet proto tcp \
>     from any to any port { ssh } \
>     (max-src-conn 10, max-src-conn-rate 5/3, \
>     overload <bruteforce> flush global)
> 
> 
> Diogo Dalfovo
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

-- 
Luiz Gustavo Costa (Powered by BSD)
*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+
mundoUnix - Consultoria em Software Livre
http://www.mundounix.com.br
ICQ: 2890831 / MSN: contato em mundounix.com.br
Tel: 55 (21) 4063-7110 / 8194-1905 / (11) 4063-0407
Blog: http://www.luizgustavo.pro.br

Mais detalhes sobre a lista de discussão freebsd