[FUG-BR] ipfw - duvida
Luiz Souza
luiz em visualconnect.com.br
Terça Julho 25 12:34:15 BRT 2006
irado furioso com tudo wrote:
> Em Fri, 21 Jul 2006 16:46:11 -0300
> Rodrigo Mufalani <mufalani at oi.com.br> escreveu:
>
>
>> o IPFW não vai comparando os pacotes com as regras de baixo para
>> cima ( da 1 ao 100) por exemplo caso encontre uma regra que combine
>> com o pacote para a comparação?
>>
>
>
> que me lembre, o ipfw (e os demais) comparam da primeira para a última,
> parando a comparação em duas situações:
>
> a) chegaram ao fim das regras. Aplica-se aquela que for apropriada,
> seja a 1a seja a 18a (de um conjunto de 55, por ex)
>
No caso do ipfw vale a primeira regra encontrada que se aplica ao
pacote. A busca termina (ele não verifica as proximas regras) e retorna
com a acão da primeira regra encontrada. (first-match).
> b) a regra contém a palavra "quick". A regra é aplicada e cessa a
> comparação.
>
> então:
>
> pass in all
> block in all
>
> e todo o tráfego será paralisado, porque a regra 2 vai ser aplicada.
>
No pf muda tudo. O firewall sempre le todas as regras e vale a ultima
que se aplicar ao pacote.
Assim no pf:
block all
pass all
O resultado vai ser sempre o "pass all" pois a ultima regra é a que vale
(desde de que se aplique ao pacote).
Já no ipfw:
ipfw add 1 deny ip from any to any
ipfw add 2 pass ip from any to any
Nenhum pacote será transmitido ou recebido já que a primeira regra é a
que vale.
Esse é o verdadeiro cada um com os seus problemas :)
Luiz
Mais detalhes sobre a lista de discussão freebsd