podivne zpomaleni provozu s firewallem PF -OT

Dan Lukes dan at obluda.cz
Thu Nov 29 13:04:25 CET 2007


Jaroslav Votruba napsal/wrote, On 11/29/07 12:32:
>>     ipfw pravidla necte. ipfw se pravidla davaji - typicky shellovskym 
>> scriptem. /etc/rc.firewall je shellovsky script
>>
>>   
> takze includy nejsou problem? v jednom predchazejicim threadu jste 
> rikal,ze aktualizace
> 
> /etc/rc.firewall.rules
> se pak musi zabezpecit jednoduchym scriptem. Coz si trochu protireci. 
> rc.firewall.rules je script a aby v nem fungivali includy se musi 
> osetrit dalsim scriptem? Nebo jste to myslel jinak,ale vyznelo to tak 
> jak jsem to pochopil?


	Nevim, o kterem z mych prispevku je tu rec. Myslim, ze kdyz se tu o 
necem podobne mluvilo naposled, tak to byla rec o tabulkach v ramci 
ipfw, ktere mely v ramci hotoveho firewallu pouze definovat mnoziny 
stroju, kterych se to-ktere pravidlo tyka. A ty seznamy se obcas menily.

	Navrhoval jsem, aby se separatnim scriptem resilo naplneni obsahu 
tabulky aktualnimi udaji.

	O includech tam snad zadna rec nebyla, pokud si pamatuju.

> to set 31 ma nejakou specialni funkci,nebo kdyz napisu jiny cislo misto 
> ty 31 je to jedno jaky tam je cislo? 

man ipfw
sekce SETS OF RULES


>>> 4,- v soucasnosti mam v  /etc/rc.firewall.rules syntaxi add 100 pass 
>>> all from any to any via lo0, muhu zde pouzit taky
>>> ipwf add 100 pass all from any to any via lo0?

> rozdil je v
> 
> add 100 pass all from any to any via lo0
> a
> ipwf add 100 pass all from any to any via lo0

	Aha - tak to si mozna celou dobu nerozumime. Naplnit firewallu pravidla 
lze dvema zpusoby - tak, ze se vola ipfw pro pridani kazdeho pravidla 
zvlast. To se dela nejcasteji shellovskym scriptem (nebo rucne z 
prikazove radky). Defaultne to system pri startu dela prave tak. 
Shellovsky script k tomu pouzity je shellovsky script se vsemi dusledky, 
ktere z toho plynou.

	Druha moznost je zavolat ipfw jen jednou a dat mu soubor, ve kterem 
jsou vsechny pozadovane operace popsane najednou. Tento soubor pak 
samozrejme neni shellovsky script se vsemi dusledky, ktere z toho plynou.

	Takze - jakou metodu pouzivas ty a jak zni presne otazka ?

>>> 5.-pokud budu chtit blokovat nekolika stanicim internet,ale ostatni 
>>> sluzby aby bezeli, tak by jim melo stacit zablokovat port 53,aby 
>>> nemohli na DNS-nebo se pletu?

> me docela staci,za se nedostanou na DNS, neznam nikoho kdo si pamatuje 
> IP adresy z hlavy. pokud lidi nebudou vedet,ze to nefacha jen kvuly 

	Jak myslis. Ja bych uzivatele nepodcenoval (nejmene ty, kteri maji doma 
nejakeho technicky vzdelanejsiho syna). A uz vubec bych nepodcenoval 
pripadne viry na takovych pocitacich, ktere ke svym komunikacim DNS 
pomerne casto nepotrebuji. Ale pokdu na tom, jestli komunikuji nebo ne 
vlastne az tak moc nezalezi, tak to jde i takhle.Ty jsi spravce, ty vis 
jak hodne jim chces v komunikaci branit.

						Dan



-- 
Dan Lukes                                               SISAL MFF UK
AKA: dan at obluda.cz, dan at freebsd.cz, dan at (kolej.)mff.cuni.cz



More information about the Users-l mailing list