PF Firewall
Jorge Severino Diaz
jorge en netsecure.cl
Mie Sep 10 10:21:14 CLT 2003
Aqui hay un comentario de la lista openbsd:
I just wanted to tell you that on Saturday I've received Jacek book. It's
really cool - small enough to carry in your notebook case and with such font
size that even when you are tired you can still easily read it. As for the
content I haven't read all the chapters, I'm probably around the middle. As
for pf reference I think it's a great help. As for new OpenBSD users there
are some areas that lack additional information, but after all this isn't
book for really newbie who wants to start playing with OpenBSD. On the other
hand a newbie should be able to setup a firewall with Jacek book. It's also
not a book for hardcore Unix developers or for security experts. But I think
it is a great reference.
----------------------
Jorge Severino Diaz
Ingeniero Networking
www.netsecure.cl
Fono: (56) 02-4709300
-----------------------
-----Mensaje original-----
De: owner-bsd en inf.utfsm.cl [mailto:owner-bsd en inf.utfsm.cl]En nombre de
Víctor Pasten V.
Enviado el: martes, 09 de septiembre de 2003 19:10
Para: bsd en inf.utfsm.cl
Asunto: Re: PF Firewall
Perfecto. adentrandome mas en detalles les cuento.
salu2.
----- Original Message -----
From: "INF. Jefe Div. Ingenieria (Enrique Maldonado)"
<enrique en directemar.cl>
To: <bsd en inf.utfsm.cl>
Sent: Tuesday, September 09, 2003 6:54 PM
Subject: RE: PF Firewall
> yo he estado tentado por comprarlo, pero me gustaría antes escuchar algún
> comentario de alguien que lo tenga primero, mira que el índice se ve muy
> bien, pero quizá en las 200 paginas no se alcance a entrar en muchos
> detalles.
>
> Viendo en el índice, el capitulo 9 habla de reglas dinámicas, podrías leer
> de que se trata y nos cuentas ;)
>
> Saludos,
>
> Enrique Maldonado
>
> > -----Mensaje original-----
> > De: Víctor Pasten V. [mailto:victor en aciertonet.com]
> > Enviado el: Tuesday, September 09, 2003 17:10
> > Para: bsd en inf.utfsm.cl
> > Asunto: Re: PF Firewall
> >
> >
> > A todo esto me compre el libro "Building firewalls with
> > OpenBSD and PF" de
> > Jacek Artimiak, es super didactico. toy recien leyendolo.
> > ----- Original Message -----
> > From: "Jorge Severino Diaz" <jorge en netsecure.cl>
> > To: <bsd en inf.utfsm.cl>
> > Sent: Tuesday, September 09, 2003 4:58 PM
> > Subject: RE: PF Firewall
> >
> >
> > > Debería funcionar tu propuesta...
> > >
> > > eso de las tablas son los anchors..pero tienen un
> > inconveniente...jaja
> > tarea
> > > pa la casa
> > >
> > > ----------------------
> > > Jorge Severino Díaz
> > > Ingeniero Networking
> > > www.netsecure.cl
> > > Fono: (56) 02-4709300
> > > -----------------------
> > >
> > > -----Mensaje original-----
> > > De: owner-bsd en inf.utfsm.cl
> > [mailto:owner-bsd en inf.utfsm.cl]En nombre de
> > > Víctor Pasten V.
> > > Enviado el: martes, 09 de septiembre de 2003 16:26
> > > Para: bsd en inf.utfsm.cl
> > > Asunto: Re: PF Firewall
> > >
> > >
> > > se me ocurrio esto, que tal si defines en el archivo de
> > hosts, por ejmplo:
> > >
> > > 200.1.1.20 www.loqsea.com
> > >
> > > para que al levantar el el PF no te reclame por que no
> > pueda resolver,
> > pero
> > > en adicion a eso configuras el orden de resolucion en modo
> > dns,hosts, la
> > > idea es que intente resolver por dns y luego por host, me
> > explico???, asi
> > > cuando ya el equipo totalmente iniciado al momento de hacer
> > coincidir la
> > > regla resuleve pero no tomra en cuenta lo de la tabla hosts
> > sino lo que
> > > rescate mediante la consulta dns.
> > >
> > > Ahora lo q desconozco es si al momento de levantar PF, lo
> > que hace es
> > > resolver la el nombre dado y dejar en memoria fijo la ip
> > que se resolvio,
> > si
> > > es asi chao idea.
> > >
> > > ----- Original Message -----
> > > From: "INF. Jefe Div. Ingenieria (Enrique Maldonado)"
> > > <enrique en directemar.cl>
> > > To: <bsd en inf.utfsm.cl>
> > > Sent: Tuesday, September 09, 2003 4:00 PM
> > > Subject: RE: PF Firewall
> > >
> > >
> > > > En algunos casos esto es necesario, yo de hecho tengo el
> > mismo problema
> > de
> > > > tener que definir determinadas reglas para nombres de maquinas de
> > destino
> > > y
> > > > no por IP, hasta el momento la única opción que he visto en la
> > > documentación
> > > > es definir los nombres en el archivo hosts, pero como
> > alguien decía es
> > una
> > > > solución poco practica en muchos casos.
> > > >
> > > > Otra solución que estoy evaluando es crear la regla
> > asociada a una tabla
> > > > vacía y cargar en forma posterior los nombres de los
> > destinos en la
> > tabla,
> > > > esto usando:
> > > > pfctl -t tabla -T add loquesea.dominio.com
> > > >
> > > > Cuando lo tenga listo les cuento.
> > > >
> > > > Enrique Maldonado
> > > >
> > > >
> > > >
> > > > > -----Mensaje original-----
> > > > > De: Rodrigo Cuevas A. [mailto:rcuevas en netbsd.cl]
> > > > > Enviado el: Tuesday, September 09, 2003 15:02
> > > > > Para: bsd en inf.utfsm.cl
> > > > > Asunto: RE: PF Firewall
> > > > >
> > > > >
> > > > > Quoting Jorge Severino Diaz <jorge en netsecure.cl>:
> > > > >
> > > > > > es que algunos sitios tienen DNS round robin y van
> > > > > cambiando la IP por
> > > > > > www....
> > > > > >
> > > > > >
> > > > >
> > > > > aun asi, creo que el problema es conceptual, no debieras
> > > > > definir filtros
> > > > > sobre nombres en el firewall, sino, a traves de un
> > proxy, o por ultimo
> > > > > usa todas las ips del round robin del sii, de todas
> > maneras insisto
> > > > > en que no es la idea hacer esto a traves del firewall,
> > creo que no
> > > > > es la herramienta adecuada.
> > > > >
> > > > > saludos
> > > > >
> > > > >
> > > > > --
> > > > > Rodrigo Cuevas A.
> > > > >
> > >
> >