PF Firewall

Mar Sep 9 18:54:01 CLT 2003

yo he estado tentado por comprarlo, pero me gustaría antes escuchar algún
comentario de alguien que lo tenga primero, mira que el índice se ve muy
bien, pero quizá en las 200 paginas no se alcance a entrar en muchos
detalles.

Viendo en el índice, el capitulo 9 habla de reglas dinámicas, podrías leer
de que se trata y nos cuentas ;)

Saludos,

Enrique Maldonado

> -----Mensaje original-----
> De: Víctor Pasten V. [mailto:victor en aciertonet.com] 
> Enviado el: Tuesday, September 09, 2003 17:10
> Para: bsd en inf.utfsm.cl
> Asunto: Re: PF Firewall
> 
> 
> A todo esto me compre el libro "Building firewalls with 
> OpenBSD and PF" de
> Jacek Artimiak, es super didactico. toy recien leyendolo.
> ----- Original Message -----
> From: "Jorge Severino Diaz" <jorge en netsecure.cl>
> To: <bsd en inf.utfsm.cl>
> Sent: Tuesday, September 09, 2003 4:58 PM
> Subject: RE: PF Firewall
> 
> 
> > Debería funcionar tu propuesta...
> >
> > eso de las tablas son los anchors..pero tienen un 
> inconveniente...jaja
> tarea
> > pa la casa
> >
> > ----------------------
> > Jorge Severino Díaz
> > Ingeniero Networking
> > www.netsecure.cl
> > Fono: (56) 02-4709300
> > -----------------------
> >
> > -----Mensaje original-----
> > De: owner-bsd en inf.utfsm.cl 
> [mailto:owner-bsd en inf.utfsm.cl]En nombre de
> > Víctor Pasten V.
> > Enviado el: martes, 09 de septiembre de 2003 16:26
> > Para: bsd en inf.utfsm.cl
> > Asunto: Re: PF Firewall
> >
> >
> > se me ocurrio esto, que tal si defines en el archivo de 
> hosts, por ejmplo:
> >
> > 200.1.1.20        www.loqsea.com
> >
> > para que al levantar el el PF no te reclame por que no 
> pueda resolver,
> pero
> > en adicion a eso configuras el orden de resolucion en modo 
> dns,hosts, la
> > idea es que intente resolver por dns y luego por host, me 
> explico???, asi
> > cuando ya el equipo totalmente iniciado al momento de hacer 
> coincidir la
> > regla resuleve pero no tomra en cuenta lo de la tabla hosts 
> sino lo que
> > rescate mediante la consulta dns.
> >
> > Ahora lo q desconozco es si al momento de levantar PF, lo 
> que hace es
> > resolver la el nombre dado y dejar en memoria fijo la ip 
> que se resolvio,
> si
> > es asi chao idea.
> >
> > ----- Original Message -----
> > From: "INF. Jefe Div. Ingenieria (Enrique Maldonado)"
> > <enrique en directemar.cl>
> > To: <bsd en inf.utfsm.cl>
> > Sent: Tuesday, September 09, 2003 4:00 PM
> > Subject: RE: PF Firewall
> >
> >
> > > En algunos casos esto es necesario, yo de hecho tengo el 
> mismo problema
> de
> > > tener que definir determinadas reglas para nombres de maquinas de
> destino
> > y
> > > no por IP, hasta el momento la única opción que he visto en la
> > documentación
> > > es definir los nombres en el archivo hosts, pero como 
> alguien decía es
> una
> > > solución poco practica en muchos casos.
> > >
> > > Otra solución que estoy evaluando es crear la regla 
> asociada a una tabla
> > > vacía y cargar en forma posterior los nombres de los 
> destinos en la
> tabla,
> > > esto usando:
> > > pfctl -t tabla -T add loquesea.dominio.com
> > >
> > > Cuando lo tenga listo les cuento.
> > >
> > > Enrique Maldonado
> > >
> > >
> > >
> > > > -----Mensaje original-----
> > > > De: Rodrigo Cuevas A. [mailto:rcuevas en netbsd.cl]
> > > > Enviado el: Tuesday, September 09, 2003 15:02
> > > > Para: bsd en inf.utfsm.cl
> > > > Asunto: RE: PF Firewall
> > > >
> > > >
> > > > Quoting Jorge Severino Diaz <jorge en netsecure.cl>:
> > > >
> > > > > es que algunos sitios tienen DNS round robin y van
> > > > cambiando la IP por
> > > > > www....
> > > > >
> > > > >
> > > >
> > > > aun asi, creo que el problema es conceptual, no debieras
> > > > definir filtros
> > > > sobre nombres en el firewall, sino, a traves de un 
> proxy, o por ultimo
> > > > usa todas las ips del round robin del sii, de todas 
> maneras insisto
> > > > en que no es la idea hacer esto a traves del firewall, 
> creo que no
> > > > es la herramienta adecuada.
> > > >
> > > > saludos
> > > >
> > > >
> > > > --
> > > > Rodrigo Cuevas A.
> > > >
> >
> 