OpenBSD - статьи
de301fb4

При использовании OpenBSD Packet Filter,


  • При использовании OpenBSD Packet Filter, пакет проходящий через Bridge попадает под проверку PF два раза, при входе на одном интерфейсе и при выходе на другом. Чтобы производить keep-state фильтрацию, нам необходимо разрешить все входящие и исходящие пакеты на одном интерфейсе, а на другом производить фильтрацию. Пример правил:
    # фильтрация производится на rl0, поэтому пропускаем все пакеты на rl1 pass in quick on rl1 all pass out quick on rl1 all
    # по умолчанию мы блокируем все пакеты, и пропускаем только # icmp запросы с получившимися keep-state ответами в обе стороны. block in on rl0 all block out on rl0 all pass in on rl0 inet proto icmp all icmp-type echoreq keep state pass out on rl0 inet proto icmp all icmp-type echoreq keep state

  • При использовании ipf для фильтрации пакетов, проходящих через Bridge, действуют только правила для входящих пакетов.
  • Если во время работы Bridge, производится перенос какого-нибудь компьютера (или другого устройства, имеющего свой Ethernet адрес) с одного Ethernet сегмента на другой, следует выполнить команду
    # brconfig bridge0 flush
    (где bridge0 - псевдо-интерфейс Bridge, к которому относится Ethernet сегмент, в котором раньше находился компьютер).


  • Содержание раздела