форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"pf+ещё не созданные интерфейсы"

Сообщение от Moralez (??) on 02-Ноя-06, 05:24

День добрый... Подскажите, плиз, умеет ли pf в freebsd загружать правила при наличии ещё не созданных интерфейсов? Не USB/PCMCII, а банального pppoe-шного tun. Иногда линк лежит и фаервол вообще не включается. И проблемка с ключевым словом self. Если правила загружены с неконфигуренным tun, то в self этот интерфейс не попадает... ipfw-шный me этими минусами не обладает.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Сообщения по теме

[Сортировка по времени, UBB]

1. "pf+ещё не созданные интерфейсы"

Сообщение от Moralez (??) on 02-Ноя-06, 07:50

Неужели никто не использует pppoe + pf ? 8-0

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "pf+ещё не созданные интерфейсы"

Сообщение от Boris Polevoy on 02-Ноя-06, 10:41

>День добрый... Подскажите, плиз, умеет ли pf в freebsd загружать правила при >наличии ещё не созданных интерфейсов? Не USB/PCMCII, а банального pppoe-шного tun. >Иногда линк лежит и фаервол вообще не включается. И проблемка с >ключевым словом self. Если правила загружены с неконфигуренным tun, то в >self этот интерфейс не попадает... > >ipfw-шный me этими минусами не обладает. Это проблема PF, self расширяется на этапе загрузки правил, а не во время обработки пакета. Вариант обхода проблемы: создаеш anchor для tun интерфейса, когда tun поднимается, в каком-либо скрипте добавляешь в этот anchor правила с текущими IP-адресами tun интерфейса. Соответственно, при отключении tun anchor необходимо очистить.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "pf+ещё не созданные интерфейсы"
	Сообщение от Moralez (??) on 02-Ноя-06, 11:21
	Boris Polevoy, большое спасибо за ответ. С его помощью решу вторую проблему. А первую решил после того как вы проигнорировали первую. :) Подумал, что наверное я чего-то совсем несуразное делаю. Оказывается, грузиться правилам мешали конструкции from 1.1.1.1 to tun0. Фича удобная, но корявая - не найдя такого интерфейса pfctl пытался эти имена разрешить. Но не так уж это и надо было...
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "pf+ещё не созданные интерфейсы"
	Сообщение от Boris Polevoy on 02-Ноя-06, 17:59
	>Boris Polevoy, большое спасибо за ответ. С его помощью решу вторую проблему. >А первую решил после того как вы проигнорировали первую. :) Подумал, >что наверное я чего-то совсем несуразное делаю. Оказывается, грузиться правилам мешали >конструкции from 1.1.1.1 to tun0. >Фича удобная, но корявая - не найдя такого интерфейса pfctl пытался эти >имена разрешить. Но не так уж это и надо было... man pf.conf: Host name resolution and interface to address translation are done at ruleset load-time.  When the address of an interface (or host name) changes (under DHCP or PPP, for instance), the ruleset must be reloaded for the change to be reflected in the kernel.  Sur- rounding the interface name (and optional modifiers) in parentheses changes this behaviour.  When the interface name is surrounded by parentheses, the rule is automatically updated whenever the inter- face changes its address.  The ruleset does not need to be reloaded.  This is especially useful with nat. Если задать имя интерфейса в круглых скобках (tun0), то при проверке правила будет браться текущий адрес интерфейса.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]