Portál AbcLinuxu, 30. dubna 2025 11:31

Redundantni fw s OpenBSD > 4.0

7.12.2007 11:12 | Linux

Timto bych jenom rad upozornil na jednu drobnou vychytavku v "novem" pf.
V changelogu OpenBSD 4.1 se da najit jeden velice zakerny radek:
In pf.conf(5), make 'flags S/SA keep state' the implicit default for filter rules.
Pri pouziti starych navodu na zprovozneni zjistite, ze firewall nefiltruje v lepsim pripade odchozi traffic. Ja pouzival jiny navod, odkazovany nebude slapat nejspis vubec.
Upgrade na OpenBSD 4.1 nebo 4.2 totiz znamena zmenu pravidel
pass quick on $int_if
na
pass quick on $int_if flags S/SA keep state.
Takze packet si takhle drandi TCP stackem, narazi na pf, v nem tenhle radek a co se stane? Pf packet povoli, spojeni prida do tabulky navazanych a na dalsi pravidla kasle. Drive se do tabulky navazanych spojeni nepridalo, packet se tlacil do dalsich pravidel a pripadne koncil na nize uvedenych block.
Kouzlo opravy spociva v pridani no state na konec vyse zmineneho radku.

       

Hodnocení: 33 %

        špatnédobré        

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

Komentáře

Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře. , Tisk

Vložit další komentář

7.12.2007 11:40 pasmen | skóre: 45 | blog: glob | Praha
Rozbalit Rozbalit vše Re: Redundantni fw s OpenBSD > 4.0
Odpovědět | Sbalit | Link | Blokovat | Admin
To není pravda. Pokud použiješ v pravidlu quick, do dalších pravidel se packet filtr nekouká ať už sleduješ navázanost spojení nebo ne.
7.12.2007 13:24 alkoholik | skóre: 40 | blog: Alkoholik
Rozbalit Rozbalit vše Re: Redundantni fw s OpenBSD > 4.0
Tohle je navod na ipless bridging fw. Zapomnel jsem to zduraznit.
A v tom pripade packet prochazi pravidly 2x. Poprve jako incoming na vnitrnim interface a podruhe jako outgoing na vnejsim.
Kdyz zacali automaticky pridavat keep state, tak uz k druhemu pruchodu, kdy se skutecne filtruje, nedochazi.
7.12.2007 13:54 pasmen | skóre: 45 | blog: glob | Praha
Rozbalit Rozbalit vše Re: Redundantni fw s OpenBSD > 4.0
Napoprvé ti to prochází přes obě pravidla, tudíž je možnost to chytit na odchozím $ext_if. Při použití keep state se jen šetří čas tím, že navazaná spojení jsou vždy propuštěna. Nicméně ti nic nebrání v tom, použít keep state až na $ext_if, pak budeš mít jak stavový firewall, tak se ti bude packet chytat na obou pravidlech.
7.12.2007 16:28 alkoholik | skóre: 40 | blog: Alkoholik
Rozbalit Rozbalit vše Re: Redundantni fw s OpenBSD > 4.0
No a prave o to jde.
Vsechny stare navody pocitaji s tim, ze na $int_if se packety pusti a filtruji na $out_if. Jenze po upgrade OpenBSD skonci packet uz na internim interface v tabulce a firewall nefiltruje.

Založit nové vláknoNahoru

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.