problemy se stavovym pf - reseni

Divacky Roman xdivac02 at stud.fit.vutbr.cz
Thu Dec 14 12:08:51 CET 2006

Previous message: hald
Next message: problemy se stavovym pf - reseni
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

zdravim

pred casem jsem resil problem ze mi pf utinalo spojeni
ve chvili kdy se zacalo zvetsovat tcp okno. jsem si skoro
jisty ze to pf mi "utinalo" i udp spojeni kterym realizuji
tunel (resp. predtim to nefungovalo ted to funguje a to jsem
nezmenil vubec nic krome nasledujiciho, zajimave ze pri spojeni
z linuxu to fungovalo).

"reseni" je nasledujici...

kazde pravidlo v pf, ktere je ve tvaru

	pass ..... keep state

MUSI obsahovat "flags S/SA", ted musi prejit na tvar

	pass .... flags S/SA keep state

vysvetleni od mlaiera je takove, ze v pripade zvetsovani okna se ten stav
nevyrabi z pocatecniho SYN packetu ale z jineho a tak v pripade skalovani
okna se to zrusi. faktem je ze na 5.x mi to nikdy neblblo.

pokud tedy nekdo resite "zahadne problemy" typu ze odnekud nechodi posta, 
nefunguje 100% dobre nakonfigurovany tunel, utinaji se vam spojeni (mne to 
delalo treba kdyz jsem pres ssh spojeni vypsal hodne dat naraz) a mate
6.x s pf firewallem tak zkuste pridat to "flags S/SA" do kazdeho stavoveho
pravidla.

ja osobne si myslim ze je to budto bug nebo dost skarede POLA violation a zkusim
to poresit s mlaierem. mate nekdo nejaky argument proc to neni ani bug ani POLA 
violation? rad se necham poucit (jde mi o vysvetleni proc to na 5.x chodilo bez problemu a ted to blbne)

roman

Previous message: hald
Next message: problemy se stavovym pf - reseni
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

More information about the Users-l mailing list