On 8/31/06, Israel Junior <[EMAIL PROTECTED]> wrote: > Caros amigos da lista, > > Nos ultimos dias tenho feito alguns testes com o o pf, e gostaria > de tirar algumas duvidas com a lista, eu li na lista nao me lembro onde mas > algum disse que o pf nao poderia trabalhar com o ipfw, no meu entendimento eu > poderia criar as regras de firewall no ipfw que entendo ser mais rigido, com > relacao a filtragem de pacotes (quando ipfw acha um pacote que bate com a > regra ele aplica, a regra e finaliza o processamento já o pf continua > processando até o fim as regras que ele tem, certo ?) mas o pf tem um
Israel, no pf este comportamento pode ser alterado usando a palavra "quick" nas regras: http://www.openbsd.org/faq/pf/filter.html#quick Onde é dito que: "(...)cada pacote é avaliado contra a política de regras do início (no topo) para o final. Por default, o pacote é marcado para passagem livre, sendo que esta marcação pode ser alterada por qualquer regra, inclusive alterada diversas vezes antes do final do conjunto de regras. A _última_ regra que o pacote fizer "match" vai "ganhar". Mas há uma exceção: a opção "quick" em uma regra de filtragem tem o efeito de cancelar o prosseguimento do processamento das regras e executa a ação definida na regra especificada. Exemplos: Errado: block in on fxp0 proto tcp from any to any port ssh pass in all Neste caso, a linha de block pode ser avaliada, mas nunca terá qualquer efeito, uma vez que é seguida de uma linha que permite a passagem de tudo. Melhor: block in quick on fxp0 proto tcp from any to any port ssh pass in all Estas regras são avaliadas de outra forma. Se um pacote "bater" (match) com a linha de bloqueio, por causa da opção quick, o pacote será bloqueado, e o restante do conjunto de regras será ignorado." Em suma, pessoalmente não creio que o ipfw seja necessário na maioria das implementações de firewall, load balance, NAT etc., se configurado adequadamente. Para isso é necessário compreender seu funcionamento e um bom conhecimento de suas características e sintaxe. Abraço, Alex ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
