PF Firewall
Víctor Pasten V.
victor en aciertonet.com
Mie Sep 10 10:30:34 CLT 2003
Justamente, es buena, base, y te sirve para andar siempre con el, y como
dije anteriormente es super didactico.
----- Original Message -----
From: "Jorge Severino Diaz" <jorge en netsecure.cl>
To: <bsd en inf.utfsm.cl>
Sent: Wednesday, September 10, 2003 10:21 AM
Subject: RE: PF Firewall
> Aqui hay un comentario de la lista openbsd:
>
> I just wanted to tell you that on Saturday I've received Jacek book. It's
> really cool - small enough to carry in your notebook case and with such
font
> size that even when you are tired you can still easily read it. As for the
> content I haven't read all the chapters, I'm probably around the middle.
As
> for pf reference I think it's a great help. As for new OpenBSD users there
> are some areas that lack additional information, but after all this isn't
> book for really newbie who wants to start playing with OpenBSD. On the
other
> hand a newbie should be able to setup a firewall with Jacek book. It's
also
> not a book for hardcore Unix developers or for security experts. But I
think
> it is a great reference.
>
> ----------------------
> Jorge Severino Diaz
> Ingeniero Networking
> www.netsecure.cl
> Fono: (56) 02-4709300
> -----------------------
>
> -----Mensaje original-----
> De: owner-bsd en inf.utfsm.cl [mailto:owner-bsd en inf.utfsm.cl]En nombre de
> Víctor Pasten V.
> Enviado el: martes, 09 de septiembre de 2003 19:10
> Para: bsd en inf.utfsm.cl
> Asunto: Re: PF Firewall
>
>
> Perfecto. adentrandome mas en detalles les cuento.
>
> salu2.
> ----- Original Message -----
> From: "INF. Jefe Div. Ingenieria (Enrique Maldonado)"
> <enrique en directemar.cl>
> To: <bsd en inf.utfsm.cl>
> Sent: Tuesday, September 09, 2003 6:54 PM
> Subject: RE: PF Firewall
>
>
> > yo he estado tentado por comprarlo, pero me gustaría antes escuchar
algún
> > comentario de alguien que lo tenga primero, mira que el índice se ve muy
> > bien, pero quizá en las 200 paginas no se alcance a entrar en muchos
> > detalles.
> >
> > Viendo en el índice, el capitulo 9 habla de reglas dinámicas, podrías
leer
> > de que se trata y nos cuentas ;)
> >
> > Saludos,
> >
> > Enrique Maldonado
> >
> > > -----Mensaje original-----
> > > De: Víctor Pasten V. [mailto:victor en aciertonet.com]
> > > Enviado el: Tuesday, September 09, 2003 17:10
> > > Para: bsd en inf.utfsm.cl
> > > Asunto: Re: PF Firewall
> > >
> > >
> > > A todo esto me compre el libro "Building firewalls with
> > > OpenBSD and PF" de
> > > Jacek Artimiak, es super didactico. toy recien leyendolo.
> > > ----- Original Message -----
> > > From: "Jorge Severino Diaz" <jorge en netsecure.cl>
> > > To: <bsd en inf.utfsm.cl>
> > > Sent: Tuesday, September 09, 2003 4:58 PM
> > > Subject: RE: PF Firewall
> > >
> > >
> > > > Debería funcionar tu propuesta...
> > > >
> > > > eso de las tablas son los anchors..pero tienen un
> > > inconveniente...jaja
> > > tarea
> > > > pa la casa
> > > >
> > > > ----------------------
> > > > Jorge Severino Díaz
> > > > Ingeniero Networking
> > > > www.netsecure.cl
> > > > Fono: (56) 02-4709300
> > > > -----------------------
> > > >
> > > > -----Mensaje original-----
> > > > De: owner-bsd en inf.utfsm.cl
> > > [mailto:owner-bsd en inf.utfsm.cl]En nombre de
> > > > Víctor Pasten V.
> > > > Enviado el: martes, 09 de septiembre de 2003 16:26
> > > > Para: bsd en inf.utfsm.cl
> > > > Asunto: Re: PF Firewall
> > > >
> > > >
> > > > se me ocurrio esto, que tal si defines en el archivo de
> > > hosts, por ejmplo:
> > > >
> > > > 200.1.1.20 www.loqsea.com
> > > >
> > > > para que al levantar el el PF no te reclame por que no
> > > pueda resolver,
> > > pero
> > > > en adicion a eso configuras el orden de resolucion en modo
> > > dns,hosts, la
> > > > idea es que intente resolver por dns y luego por host, me
> > > explico???, asi
> > > > cuando ya el equipo totalmente iniciado al momento de hacer
> > > coincidir la
> > > > regla resuleve pero no tomra en cuenta lo de la tabla hosts
> > > sino lo que
> > > > rescate mediante la consulta dns.
> > > >
> > > > Ahora lo q desconozco es si al momento de levantar PF, lo
> > > que hace es
> > > > resolver la el nombre dado y dejar en memoria fijo la ip
> > > que se resolvio,
> > > si
> > > > es asi chao idea.
> > > >
> > > > ----- Original Message -----
> > > > From: "INF. Jefe Div. Ingenieria (Enrique Maldonado)"
> > > > <enrique en directemar.cl>
> > > > To: <bsd en inf.utfsm.cl>
> > > > Sent: Tuesday, September 09, 2003 4:00 PM
> > > > Subject: RE: PF Firewall
> > > >
> > > >
> > > > > En algunos casos esto es necesario, yo de hecho tengo el
> > > mismo problema
> > > de
> > > > > tener que definir determinadas reglas para nombres de maquinas de
> > > destino
> > > > y
> > > > > no por IP, hasta el momento la única opción que he visto en la
> > > > documentación
> > > > > es definir los nombres en el archivo hosts, pero como
> > > alguien decía es
> > > una
> > > > > solución poco practica en muchos casos.
> > > > >
> > > > > Otra solución que estoy evaluando es crear la regla
> > > asociada a una tabla
> > > > > vacía y cargar en forma posterior los nombres de los
> > > destinos en la
> > > tabla,
> > > > > esto usando:
> > > > > pfctl -t tabla -T add loquesea.dominio.com
> > > > >
> > > > > Cuando lo tenga listo les cuento.
> > > > >
> > > > > Enrique Maldonado
> > > > >
> > > > >
> > > > >
> > > > > > -----Mensaje original-----
> > > > > > De: Rodrigo Cuevas A. [mailto:rcuevas en netbsd.cl]
> > > > > > Enviado el: Tuesday, September 09, 2003 15:02
> > > > > > Para: bsd en inf.utfsm.cl
> > > > > > Asunto: RE: PF Firewall
> > > > > >
> > > > > >
> > > > > > Quoting Jorge Severino Diaz <jorge en netsecure.cl>:
> > > > > >
> > > > > > > es que algunos sitios tienen DNS round robin y van
> > > > > > cambiando la IP por
> > > > > > > www....
> > > > > > >
> > > > > > >
> > > > > >
> > > > > > aun asi, creo que el problema es conceptual, no debieras
> > > > > > definir filtros
> > > > > > sobre nombres en el firewall, sino, a traves de un
> > > proxy, o por ultimo
> > > > > > usa todas las ips del round robin del sii, de todas
> > > maneras insisto
> > > > > > en que no es la idea hacer esto a traves del firewall,
> > > creo que no
> > > > > > es la herramienta adecuada.
> > > > > >
> > > > > > saludos
> > > > > >
> > > > > >
> > > > > > --
> > > > > > Rodrigo Cuevas A.
> > > > > >
> > > >
> > >
>