zdravim
pred casem jsem resil problem ze mi pf utinalo spojeni
ve chvili kdy se zacalo zvetsovat tcp okno. jsem si skoro
jisty ze to pf mi "utinalo" i udp spojeni kterym realizuji
tunel (resp. predtim to nefungovalo ted to funguje a to jsem
nezmenil vubec nic krome nasledujiciho, zajimave ze pri spojeni
z linuxu to fungovalo).
"reseni" je nasledujici...
kazde pravidlo v pf, ktere je ve tvaru
pass ..... keep state
MUSI obsahovat "flags S/SA", ted musi prejit na tvar
pass .... flags S/SA keep state
vysvetleni od mlaiera je takove, ze v pripade zvetsovani okna se ten stav
nevyrabi z pocatecniho SYN packetu ale z jineho a tak v pripade skalovani
okna se to zrusi. faktem je ze na 5.x mi to nikdy neblblo.
pokud tedy nekdo resite "zahadne problemy" typu ze odnekud nechodi posta,
nefunguje 100% dobre nakonfigurovany tunel, utinaji se vam spojeni (mne to
delalo treba kdyz jsem pres ssh spojeni vypsal hodne dat naraz) a mate
6.x s pf firewallem tak zkuste pridat to "flags S/SA" do kazdeho stavoveho
pravidla.
ja osobne si myslim ze je to budto bug nebo dost skarede POLA violation a zkusim
to poresit s mlaierem. mate nekdo nejaky argument proc to neni ani bug ani POLA
violation? rad se necham poucit (jde mi o vysvetleni proc to na 5.x chodilo bez
problemu a ted to blbne)
roman
--
FreeBSD mailing list ([email protected])
http://www.freebsd.cz/listserv/listinfo/users-l
