PF Firewall
Víctor Pasten V.
victor en aciertonet.com
Mar Sep 9 19:10:02 CLT 2003
Perfecto. adentrandome mas en detalles les cuento.
salu2.
----- Original Message -----
From: "INF. Jefe Div. Ingenieria (Enrique Maldonado)"
<enrique en directemar.cl>
To: <bsd en inf.utfsm.cl>
Sent: Tuesday, September 09, 2003 6:54 PM
Subject: RE: PF Firewall
> yo he estado tentado por comprarlo, pero me gustaría antes escuchar algún
> comentario de alguien que lo tenga primero, mira que el índice se ve muy
> bien, pero quizá en las 200 paginas no se alcance a entrar en muchos
> detalles.
>
> Viendo en el índice, el capitulo 9 habla de reglas dinámicas, podrías leer
> de que se trata y nos cuentas ;)
>
> Saludos,
>
> Enrique Maldonado
>
> > -----Mensaje original-----
> > De: Víctor Pasten V. [mailto:victor en aciertonet.com]
> > Enviado el: Tuesday, September 09, 2003 17:10
> > Para: bsd en inf.utfsm.cl
> > Asunto: Re: PF Firewall
> >
> >
> > A todo esto me compre el libro "Building firewalls with
> > OpenBSD and PF" de
> > Jacek Artimiak, es super didactico. toy recien leyendolo.
> > ----- Original Message -----
> > From: "Jorge Severino Diaz" <jorge en netsecure.cl>
> > To: <bsd en inf.utfsm.cl>
> > Sent: Tuesday, September 09, 2003 4:58 PM
> > Subject: RE: PF Firewall
> >
> >
> > > Debería funcionar tu propuesta...
> > >
> > > eso de las tablas son los anchors..pero tienen un
> > inconveniente...jaja
> > tarea
> > > pa la casa
> > >
> > > ----------------------
> > > Jorge Severino Díaz
> > > Ingeniero Networking
> > > www.netsecure.cl
> > > Fono: (56) 02-4709300
> > > -----------------------
> > >
> > > -----Mensaje original-----
> > > De: owner-bsd en inf.utfsm.cl
> > [mailto:owner-bsd en inf.utfsm.cl]En nombre de
> > > Víctor Pasten V.
> > > Enviado el: martes, 09 de septiembre de 2003 16:26
> > > Para: bsd en inf.utfsm.cl
> > > Asunto: Re: PF Firewall
> > >
> > >
> > > se me ocurrio esto, que tal si defines en el archivo de
> > hosts, por ejmplo:
> > >
> > > 200.1.1.20 www.loqsea.com
> > >
> > > para que al levantar el el PF no te reclame por que no
> > pueda resolver,
> > pero
> > > en adicion a eso configuras el orden de resolucion en modo
> > dns,hosts, la
> > > idea es que intente resolver por dns y luego por host, me
> > explico???, asi
> > > cuando ya el equipo totalmente iniciado al momento de hacer
> > coincidir la
> > > regla resuleve pero no tomra en cuenta lo de la tabla hosts
> > sino lo que
> > > rescate mediante la consulta dns.
> > >
> > > Ahora lo q desconozco es si al momento de levantar PF, lo
> > que hace es
> > > resolver la el nombre dado y dejar en memoria fijo la ip
> > que se resolvio,
> > si
> > > es asi chao idea.
> > >
> > > ----- Original Message -----
> > > From: "INF. Jefe Div. Ingenieria (Enrique Maldonado)"
> > > <enrique en directemar.cl>
> > > To: <bsd en inf.utfsm.cl>
> > > Sent: Tuesday, September 09, 2003 4:00 PM
> > > Subject: RE: PF Firewall
> > >
> > >
> > > > En algunos casos esto es necesario, yo de hecho tengo el
> > mismo problema
> > de
> > > > tener que definir determinadas reglas para nombres de maquinas de
> > destino
> > > y
> > > > no por IP, hasta el momento la única opción que he visto en la
> > > documentación
> > > > es definir los nombres en el archivo hosts, pero como
> > alguien decía es
> > una
> > > > solución poco practica en muchos casos.
> > > >
> > > > Otra solución que estoy evaluando es crear la regla
> > asociada a una tabla
> > > > vacía y cargar en forma posterior los nombres de los
> > destinos en la
> > tabla,
> > > > esto usando:
> > > > pfctl -t tabla -T add loquesea.dominio.com
> > > >
> > > > Cuando lo tenga listo les cuento.
> > > >
> > > > Enrique Maldonado
> > > >
> > > >
> > > >
> > > > > -----Mensaje original-----
> > > > > De: Rodrigo Cuevas A. [mailto:rcuevas en netbsd.cl]
> > > > > Enviado el: Tuesday, September 09, 2003 15:02
> > > > > Para: bsd en inf.utfsm.cl
> > > > > Asunto: RE: PF Firewall
> > > > >
> > > > >
> > > > > Quoting Jorge Severino Diaz <jorge en netsecure.cl>:
> > > > >
> > > > > > es que algunos sitios tienen DNS round robin y van
> > > > > cambiando la IP por
> > > > > > www....
> > > > > >
> > > > > >
> > > > >
> > > > > aun asi, creo que el problema es conceptual, no debieras
> > > > > definir filtros
> > > > > sobre nombres en el firewall, sino, a traves de un
> > proxy, o por ultimo
> > > > > usa todas las ips del round robin del sii, de todas
> > maneras insisto
> > > > > en que no es la idea hacer esto a traves del firewall,
> > creo que no
> > > > > es la herramienta adecuada.
> > > > >
> > > > > saludos
> > > > >
> > > > >
> > > > > --
> > > > > Rodrigo Cuevas A.
> > > > >
> > >
> >