[FUG-BR] Syntax PF

Christiano Liberato christianoliberato em gmail.com
Segunda Março 24 11:52:37 BRT 2014 

Otavio, essa alteração do PF no Openbsd tá complicado (pelo menos para mim).
Tenho alguns fw para migrar e infelizmente não consegui em todos.
O principal empecilho para essa migração está sendo negar um NAT.

Antes fazia

no nat on $int_if proto tcp from $int_net to $int_net:network

e agora não sei como faz.

Se alguém da lista souber, ficaria grato em compartilhar a informação.



Em 21 de março de 2014 10:27, Marcelo Gondim <gondim em bsdinfo.com.br>escreveu:

> Em 21/03/14 09:58, Rodrigo Mosconi escreveu:
> > Em 20 de março de 2014 18:22, Marcelo Gondim <gondim em bsdinfo.com.br
> >escreveu:
> >
> >> Em 20/03/14 17:46, Otavio Augusto escreveu:
> >>> Em 20 de março de 2014 17:09, Marcelo Gondim <gondim em bsdinfo.com.br>
> >> escreveu:
> >>>> Em 20/03/14 17:01, João Mancy escreveu:
> >>>>> Eu uso a muitos anos o PF, mas sempre vejo pessoas falando que o
> >> Firewall
> >>>>> melhor adequado ao FreeBSD é o ipfw2.
> >>>>>
> >>>>> Inclusive que as ultimas versões são para OpenBSD, isso me faz
> quebrar
> >>>>> muito a cabeça em relação de qual o melhor.
> >>>>>
> >>>>> Por isso o debate.
> >>>>>
> >>>> Eu costumo usar o ipfw para filtros e o pf para fazer nat. O pf do
> >>>> FreeBSD 10 foi reescrito e parece que a performance agora é tão boa
> >>>> quanto à do ipfw.
> >>>> Patrick pode confirmar isso?
> >>>>
> >>>> []'s
> >>>> Gondim
> >>>>
> >>>> -------------------------
> >>>> Histórico: http://www.fug.com.br/historico/html/freebsd/
> >>>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
> >>> Concordo que o melhor é o que vc sabe usar melhor.
> >>> Semrpe usei o ipfw e raramente precisei usar o pf, normalmente quando
> >>> preciso fazer alguma alteração em algum servidor
> >>> que foi configurado inicialmente por outra pessoa. Antigamente eu
> >>> fazia igual ao gondim, com a diferença que usa o pf também com o altq
> >>> até que ipfw teve nat pelo kernel e também suporte direto ao altq.
> >>> Goste de manter atualizado o conhecimento do pf para que sempre por
> >>> isto vou revisar meu conhecimento dele nas novas versões do FreeBSD ,
> >>> mas já que não mudou a syntax, a dificuldade será pouca.
> >>>
> >>>
> >> Pois é Otavio e nem acredito que vá mudar por causa da POLA. :)
> >> Esses dias, por exemplo, houve uma mudança no openssh por causa do
> >> Capsicum e gerou um desconforto porque teve gente que perdeu acesso
> >> remoto ssh. Porque o default do OpenSSH passou à ser compilado com
> >> sandbox e à usar privilege separation com sandbox
> >> (UsePrivilegeSeparation sandbox). Como ninguém foi avisado nem mesmo
> >> pelo arquivo UPDATING já jogaram a POLA como argumento.
> >>
> >> Pelo menos foi o que eu entendi.  :)
> >>
> > A mudança do sandbox para default foi anunciada na verso 6.1 do openssh
> > http://www.openssh.com/txt/release-6.1
> >
> Opa Rodrigo,
>
> Lá foi mas no UPDATING do /usr/src não havia sido, ferindo a POLA. rsrsrsrs
> Quando eu atualizo os meus sources eu olho é no UPDATING e não nos sites
> oficiais como o do openssh. Isso que deu a treta na lista.
> Mas agora já colocaram no UPDATING:
>
> 20140303:
>          OpenSSH will now ignore errors caused by kernel lacking of
> Capsicum
>          capability mode support.  Please note that enabling the feature in
>          kernel is still highly recommended.
>
> 20140227:
>          OpenSSH is now built with sandbox support, and will use sandbox as
>          the default privilege separation method.  This requires Capsicum
>          capability mode support in kernel.
>
> []'s
> Gondim
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>

Mais detalhes sobre a lista de discussão freebsd