PF Firewall
Víctor Pasten V.
victor en aciertonet.com
Mar Sep 9 17:10:01 CLT 2003
A todo esto me compre el libro "Building firewalls with OpenBSD and PF" de
Jacek Artimiak, es super didactico. toy recien leyendolo.
----- Original Message -----
From: "Jorge Severino Diaz" <jorge en netsecure.cl>
To: <bsd en inf.utfsm.cl>
Sent: Tuesday, September 09, 2003 4:58 PM
Subject: RE: PF Firewall
> Debería funcionar tu propuesta...
>
> eso de las tablas son los anchors..pero tienen un inconveniente...jaja
tarea
> pa la casa
>
> ----------------------
> Jorge Severino Díaz
> Ingeniero Networking
> www.netsecure.cl
> Fono: (56) 02-4709300
> -----------------------
>
> -----Mensaje original-----
> De: owner-bsd en inf.utfsm.cl [mailto:owner-bsd en inf.utfsm.cl]En nombre de
> Víctor Pasten V.
> Enviado el: martes, 09 de septiembre de 2003 16:26
> Para: bsd en inf.utfsm.cl
> Asunto: Re: PF Firewall
>
>
> se me ocurrio esto, que tal si defines en el archivo de hosts, por ejmplo:
>
> 200.1.1.20 www.loqsea.com
>
> para que al levantar el el PF no te reclame por que no pueda resolver,
pero
> en adicion a eso configuras el orden de resolucion en modo dns,hosts, la
> idea es que intente resolver por dns y luego por host, me explico???, asi
> cuando ya el equipo totalmente iniciado al momento de hacer coincidir la
> regla resuleve pero no tomra en cuenta lo de la tabla hosts sino lo que
> rescate mediante la consulta dns.
>
> Ahora lo q desconozco es si al momento de levantar PF, lo que hace es
> resolver la el nombre dado y dejar en memoria fijo la ip que se resolvio,
si
> es asi chao idea.
>
> ----- Original Message -----
> From: "INF. Jefe Div. Ingenieria (Enrique Maldonado)"
> <enrique en directemar.cl>
> To: <bsd en inf.utfsm.cl>
> Sent: Tuesday, September 09, 2003 4:00 PM
> Subject: RE: PF Firewall
>
>
> > En algunos casos esto es necesario, yo de hecho tengo el mismo problema
de
> > tener que definir determinadas reglas para nombres de maquinas de
destino
> y
> > no por IP, hasta el momento la única opción que he visto en la
> documentación
> > es definir los nombres en el archivo hosts, pero como alguien decía es
una
> > solución poco practica en muchos casos.
> >
> > Otra solución que estoy evaluando es crear la regla asociada a una tabla
> > vacía y cargar en forma posterior los nombres de los destinos en la
tabla,
> > esto usando:
> > pfctl -t tabla -T add loquesea.dominio.com
> >
> > Cuando lo tenga listo les cuento.
> >
> > Enrique Maldonado
> >
> >
> >
> > > -----Mensaje original-----
> > > De: Rodrigo Cuevas A. [mailto:rcuevas en netbsd.cl]
> > > Enviado el: Tuesday, September 09, 2003 15:02
> > > Para: bsd en inf.utfsm.cl
> > > Asunto: RE: PF Firewall
> > >
> > >
> > > Quoting Jorge Severino Diaz <jorge en netsecure.cl>:
> > >
> > > > es que algunos sitios tienen DNS round robin y van
> > > cambiando la IP por
> > > > www....
> > > >
> > > >
> > >
> > > aun asi, creo que el problema es conceptual, no debieras
> > > definir filtros
> > > sobre nombres en el firewall, sino, a traves de un proxy, o por ultimo
> > > usa todas las ips del round robin del sii, de todas maneras insisto
> > > en que no es la idea hacer esto a traves del firewall, creo que no
> > > es la herramienta adecuada.
> > >
> > > saludos
> > >
> > >
> > > --
> > > Rodrigo Cuevas A.
> > >
>