Re: [FUG-BR] IPFW e PF - mesmo tempo
Giovanni P. Tirloni wrote: ... como vc sabe que o pf eh lido primeiro ... Se voce realmente quiser saber "quem funciona primeiro", sugiro o seguinte teste: *no console* crie regras para o pf bloquear tudo crie regras para o ipfw bloquear tudo crie regras para o ipfilter bloquear tudo aí é só olhar ver quem está bloqueando. (vai aparece no log, `ipfw show`, `pfctl -ss`, etc...) Curiosidade "aproveitando o gancho" : como agora o ipfw tambem usa os "PFIL hooks", no FreeBSD 6.0-CURRENT já é possivel usar o ipfw + ALTQ ! meio "frankenstein": voce tem que usar o pf.conf/pfctl para criar as "regras" do ALTQ e aplica-las via regras do ipfw []s Antonio Torres [EMAIL PROTECTED] ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] IPFW e PF - mesmo tempo
Ricardo A. Reis wrote: Christopher Giese - IRAPIDA wrote: como vc sabe que o pf eh lido primeiro E ai Christopher, Bom eu cheguei a essa conclusão com alguns testes, na regras do pf tenho rdr,filter . e default police drop e logo com todo firewall configurado e funcionado eu levanto o ipfw com police accept e td funciona como se nada estivesse acontecido o mesmo acontece quando a police é drop (td para de funcionar). Aparentemente o ipfw tem a palavra final, porem so para o trafego ja permitido pelo pf, dessa forma os meus pipes para o squid funcionam como sempre funcionaram :-) Essa maquina ja foi um 5.2.x com pf e agora um 5.x. na época pensei que era por causa do pfil(9)... agora com ipfw e pf usando pf ja não sei se tem haver com a ordem de carregamento! OBS: melhor colar o seu nome certo, nao quero ser responsavel por emails do tipo o do Bill Paul, vide @current Até um tempo atrás existiam duas formas de um pacote ser filtrado/manipulado no caminho até seu destino: os PFIL hooks ou o IPFW hook. No PFIL hooks eram "ligados" o ipfilter e o pf e eles tinham precedência em relação ao ipfw. Agora no FreeBSD 5.x mais recente o ipfw também é acionado via essa interface PFIL. Acredito que tenham mantido a mesma ordem de sempre pois a mudança foi transparente. -- Giovanni P. Tirloni / [EMAIL PROTECTED] / PGP: 0xD0315C26 ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] IPFW e PF - mesmo tempo
Christopher Giese - IRAPIDA wrote: como vc sabe que o pf eh lido primeiro E ai Christopher, Bom eu cheguei a essa conclusão com alguns testes, na regras do pf tenho rdr,filter . e default police drop e logo com todo firewall configurado e funcionado eu levanto o ipfw com police accept e td funciona como se nada estivesse acontecido o mesmo acontece quando a police é drop (td para de funcionar). Aparentemente o ipfw tem a palavra final, porem so para o trafego ja permitido pelo pf, dessa forma os meus pipes para o squid funcionam como sempre funcionaram :-) Essa maquina ja foi um 5.2.x com pf e agora um 5.x. na época pensei que era por causa do pfil(9)... agora com ipfw e pf usando pf ja não sei se tem haver com a ordem de carregamento! OBS: melhor colar o seu nome certo, nao quero ser responsavel por emails do tipo o do Bill Paul, vide @current -- Atenciosamente Ricardo A. Reis UNIFESP - SENAI Unix and System Admin ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] IPFW e PF - mesmo tempo
como vc sabe que o pf eh lido primeiro Ricardo A Reis wrote: Caro Colega, Eu uso em um proxy server, pf para fazer nat e redirect e ifpw com dummynet. Ambos em modulo !! o PF e lido primeiro ... !! :-( Atenciosamente Ricardo A. Reis UNIFESP - SENAI Unix and System Admin Oi pessoal Alguém já usou no Free 5.3 o IPFW e o PF ao mesmo tempo? Sabem qual a precedência de cada um? É que preciso implementar uma solução de policy routing e controle de banda, e depois de todos os testes vi que é mais fácil fazer o primeiro usando p f (route-to) e o segundo usando o IPFW (pipes). Olhando no 5.4 RELEASE vi que tem agora uma opção de kernel chamada IPFIREWALL_FORWARD_EXTENDED, que, segundo os Release Notes: "This kernel op tion disables all restrictions to ensure proper behavior for locally generated packets and allows redirection of packets destined to locally configured IP addresses.". Pelo que entendi pode substituir o route-to do pf... Alguém já testou algo assim? []s para todos Kassiano ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br -- Christopher Giese System Network Security Administrator - iRapida Telecom [EMAIL PROTECTED] - www.bsdux.com.br - (044) 3619- "O homem só envelhece quando nele os lamentos substituem os sonhos" (Jonh Berry) ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
Re: [FUG-BR] IPFW e PF - mesmo tempo
Caro Colega, Eu uso em um proxy server, pf para fazer nat e redirect e ifpw com dummynet. Ambos em modulo !! o PF e lido primeiro ... !! :-( Atenciosamente Ricardo A. Reis UNIFESP - SENAI Unix and System Admin Oi pessoal Alguém já usou no Free 5.3 o IPFW e o PF ao mesmo tempo? Sabem qual a precedência de cada um? É que preciso implementar uma solução de policy routing e controle de banda, e depois de todos os testes vi que é mais fácil fazer o primeiro usando p f (route-to) e o segundo usando o IPFW (pipes). Olhando no 5.4 RELEASE vi que tem agora uma opção de kernel chamada IPFIREWALL_FORWARD_EXTENDED, que, segundo os Release Notes: "This kernel op tion disables all restrictions to ensure proper behavior for locally generated packets and allows redirection of packets destined to locally configured IP addresses.". Pelo que entendi pode substituir o route-to do pf... Alguém já testou algo assim? []s para todos Kassiano ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br ___ Freebsd mailing list Freebsd@fug.com.br http://mail.fug.com.br/mailman/listinfo/freebsd_fug.com.br
