[FUG-BR] Conceito IPFW + PF

Alex Moura alexsm em gmail.com
Terça Setembro 5 11:36:03 BRT 2006 

On 8/31/06, Israel Junior <israel em provenorte.com.br> wrote:
> Caros amigos da lista,
>
>        Nos ultimos dias tenho feito alguns testes com o o pf, e gostaria
> de tirar algumas duvidas com a lista, eu li na lista nao me lembro onde mas algum disse que o pf nao poderia trabalhar com o ipfw, no meu entendimento eu poderia criar as regras de firewall no ipfw que entendo ser mais rigido, com relacao a filtragem de pacotes (quando ipfw acha um pacote que bate com a regra ele aplica, a regra e finaliza o processamento já o pf continua processando até o fim as regras que ele tem, certo ?) mas o pf tem um

Israel, no pf este comportamento pode ser alterado usando a palavra
"quick" nas regras:


http://www.openbsd.org/faq/pf/filter.html#quick

Onde é dito que: "(...)cada pacote é avaliado contra a política de
regras do início (no topo) para o final. Por default, o pacote é
marcado para passagem livre, sendo que esta marcação pode ser alterada
por qualquer regra, inclusive alterada diversas vezes antes do final
do conjunto de regras. A _última_ regra que o pacote fizer "match" vai
"ganhar". Mas há uma exceção: a opção "quick" em uma regra de
filtragem tem o efeito de cancelar o prosseguimento do processamento
das regras e executa a ação definida na regra especificada. Exemplos:

Errado:

    block in on fxp0 proto tcp from any to any port ssh
    pass  in all

Neste caso, a linha de block pode ser avaliada, mas nunca terá
qualquer efeito, uma vez que é seguida de uma linha que permite a
passagem de tudo.

Melhor:

    block in quick on fxp0 proto tcp from any to any port ssh
    pass  in all

Estas regras são avaliadas de outra forma. Se um pacote "bater"
(match) com a linha de bloqueio, por causa da opção quick, o pacote
será bloqueado, e o restante do conjunto de regras será ignorado."

Em suma, pessoalmente não creio que o ipfw seja necessário na maioria
das implementações de firewall, load balance, NAT etc., se configurado
adequadamente. Para isso é necessário compreender seu funcionamento e
um bom conhecimento de suas características e sintaxe.

Abraço,

Alex

Mais detalhes sobre a lista de discussão freebsd