PF Firewall
INF. Jefe Div. Ingenieria (Enrique Maldonado)
enrique en directemar.cl
Mar Sep 9 18:43:18 CLT 2003
Primero te sugiero usar OpenBSD 3.3, que implementa tablas, que no son lo
mismo que los anchors
(ver man pf.conf o más fácil http://www.openbsd.org/faq/pf/index.html)
En las reglas en las que se usan nombres al momento de cargarse se realiza
el cambio por la IP y ese es que valor que queda, por lo que usar el archivo
hosts para partir y luego un dns para evaluar posteriormente no funciona.
Eso lo puedes ver usando "pfctl -s rules", si no estas usando tablas o
"pfctl -t nombretabla -T show" para ver el contenido de una.
Una opción que si pudieras considerar es utilizar reglas que consideren el
uso de Tablas y actualizar el contenido de ellas en forma periódica con un
script como:
--------------------------------------------------------------
#!/bin/sh
# actualiza tabla <destinos-frecuentes> con ip de servidores
/sbin/pfctl -t destinos-frecuentes -T flush
/sbin/pfctl -t destinos-frecuentes -T add www.destino1.cl
/sbin/pfctl -t destinos-frecuentes -T add www.destino2.com
/sbin/pfctl -t destinos-frecuentes -T add www.destino3.org
/sbin/pfctl -t destinos-frecuentes -T add www.destino4.net
--------------------------------------------------------------
Con esto la maquina resuelve cada nombre y carga en la tabla todas las IP
que se obtengan
Saludos,
Enrique Maldonado
> -----Mensaje original-----
> De: Jorge Severino Diaz [mailto:jorge en netsecure.cl]
> Enviado el: Tuesday, September 09, 2003 16:58
> Para: bsd en inf.utfsm.cl
> Asunto: RE: PF Firewall
>
>
> Debería funcionar tu propuesta...
>
> eso de las tablas son los anchors..pero tienen un
> inconveniente...jaja tarea
> pa la casa
>