PF Firewall

Víctor Pasten V. victor en aciertonet.com
Mar Sep 9 16:26:18 CLT 2003 

se me ocurrio esto, que tal si defines en el archivo de hosts, por ejmplo:

200.1.1.20        www.loqsea.com

para que al levantar el el PF no te reclame por que no pueda resolver, pero
en adicion a eso configuras el orden de resolucion en modo dns,hosts, la
idea es que intente resolver por dns y luego por host, me explico???, asi
cuando ya el equipo totalmente iniciado al momento de hacer coincidir la
regla resuleve pero no tomra en cuenta lo de la tabla hosts sino lo que
rescate mediante la consulta dns.

Ahora lo q desconozco es si al momento de levantar PF, lo que hace es
resolver la el nombre dado y dejar en memoria fijo la ip que se resolvio, si
es asi chao idea.

----- Original Message -----
From: "INF. Jefe Div. Ingenieria (Enrique Maldonado)"
<enrique en directemar.cl>
To: <bsd en inf.utfsm.cl>
Sent: Tuesday, September 09, 2003 4:00 PM
Subject: RE: PF Firewall


> En algunos casos esto es necesario, yo de hecho tengo el mismo problema de
> tener que definir determinadas reglas para nombres de maquinas de destino
y
> no por IP, hasta el momento la única opción que he visto en la
documentación
> es definir los nombres en el archivo hosts, pero como alguien decía es una
> solución poco practica en muchos casos.
>
> Otra solución que estoy evaluando es crear la regla asociada a una tabla
> vacía y cargar en forma posterior los nombres de los destinos en la tabla,
> esto usando:
> pfctl -t tabla -T add loquesea.dominio.com
>
> Cuando lo tenga listo les cuento.
>
> Enrique Maldonado
>
>
>
> > -----Mensaje original-----
> > De: Rodrigo Cuevas A. [mailto:rcuevas en netbsd.cl]
> > Enviado el: Tuesday, September 09, 2003 15:02
> > Para: bsd en inf.utfsm.cl
> > Asunto: RE: PF Firewall
> >
> >
> > Quoting Jorge Severino Diaz <jorge en netsecure.cl>:
> >
> > > es que algunos sitios tienen DNS round robin y van
> > cambiando la IP por
> > > www....
> > >
> > >
> >
> > aun asi, creo que el problema es conceptual, no debieras
> > definir filtros
> > sobre nombres en el firewall, sino, a traves de un proxy, o por ultimo
> > usa todas las ips del round robin del sii, de todas maneras insisto
> > en que no es la idea hacer esto a traves del firewall, creo que no
> > es la herramienta adecuada.
> >
> > saludos
> >
> >
> > --
> > Rodrigo Cuevas A.
> >