странное поведение pf

Список форумов » FreeBSD » FreeBSD для новичков

Часовой пояс: UTC + 4 часа

Страница 1 из 1

[ Сообщений: 9 ]

Автор

Сообщение

a007

Заголовок сообщения: странное поведение pf

Добавлено: Пн 11 фев, 2019 11:43 pm

Зарегистрирован: Пт 27 мар, 2015 12:38 pm
Сообщения: 42

заметил странную особенность работы:
если в /etc/pf.conf добавить правило какое-либо с доменным именем (в том числе и с FQDN) например

Код:

rdp pass on $INET_IF proto tcp from xxx.com  to any port 22222 -> 10.0.0.2 port 22

то

Код:

pfctl -nf /etc/pf.conf

ошибок не находит, а

Код:

pfctl -f /etc/pf.conf

загружает все правила и преобразует доменное имя в IP о чем свидетельствует

Код:

pfctl -s nat

и вроде бы все нормально, но.....
если перезагрузить такой сервер, то правила pf просто не загружаются, как будто есть ошибка в pf.
если же убрать правило с доменным именем, то все ок
Как в pf использовать доменные имена, чтобы нормально загружались правила pf при перезагрузки?
В /etc/rc.conf и с прописанным путем pf_rules="/etc/pf.conf" и без,- ситуация одинаковая.
Что я сделал не так?
Такая вещь наблюдаю в FreeBSD 12 и FreeBSD 11.2

Вернуться к началу

AMDmi3

Заголовок сообщения: Re: странное поведение pf

Добавлено: Вт 12 фев, 2019 12:16 am

Модератор

Зарегистрирован: Сб 11 сен, 2004 6:33 am
Сообщения: 5331
Откуда: Москва

В конфигах firewall'ов нельзя использовать доменные имена, потому что во время настройки firewall'а резолвинг может не работать. Да и вообще это ущербная идея, учитывая динамическую природу DNS.

Вернуться к началу

a007

Заголовок сообщения: Re: странное поведение pf

Добавлено: Вт 12 фев, 2019 11:21 am

Зарегистрирован: Пт 27 мар, 2015 12:38 pm
Сообщения: 42

AMDmi3 писал(а):

В конфигах firewall'ов нельзя использовать доменные имена,

Странно, в man написано обратное, да и тут: https://www.opennet.ru/base/net/pf_faq.txt.html

AMDmi3 писал(а):

потому что во время настройки firewall'а резолвинг может не работать.

Это как это?

AMDmi3 писал(а):

Да и вообще это ущербная идея, учитывая динамическую природу DNS.

Так подскажите правильное решение задачи: разрешения входа на сервис только с какого-либо хоста , использующего DDNS.

Вернуться к началу

a007

Заголовок сообщения: Re: странное поведение pf

Добавлено: Вт 12 фев, 2019 11:25 am

Зарегистрирован: Пт 27 мар, 2015 12:38 pm
Сообщения: 42

a007 писал(а):

если перезагрузить такой сервер, то правила pf просто не загружаются, как будто есть ошибка в pf.

уточню:не загружается вообще ни одно правило.

Вернуться к началу

skeletor

Заголовок сообщения: Re: странное поведение pf

Добавлено: Вт 12 фев, 2019 11:46 am

Зарегистрирован: Пн 26 мар, 2007 6:04 pm
Сообщения: 1161
Откуда: Kiev

a007 писал(а):

AMDmi3 писал(а):

В конфигах firewall'ов нельзя использовать доменные имена,

Странно, в man написано обратное, да и тут: https://www.opennet.ru/base/net/pf_faq.txt.html

AMDmi3 писал(а):

потому что во время настройки firewall'а резолвинг может не работать.

Это как это?

Это так, как вам и написали: во время старта ОС файервол может стартовать раньше службы резолвинга. Как быть в таком случае?

_________________
"Винда съела дрова и резет здесь не фурычит"
"Все говорят, что у меня /dev/hands кривой и я всё делаю через /dev/ass. А у меня этих файлов вообще нет!"

Вернуться к началу

a007

Заголовок сообщения: Re: странное поведение pf

Добавлено: Вт 12 фев, 2019 12:24 pm

Зарегистрирован: Пт 27 мар, 2015 12:38 pm
Сообщения: 42

Цитата:

Спасибо, из предыдущего поста мне было не очевидно:"как это"
Мне бы направление для решения :-(

Вернуться к началу

skeletor

Заголовок сообщения: Re: странное поведение pf

Добавлено: Вт 12 фев, 2019 12:30 pm

Зарегистрирован: Пн 26 мар, 2007 6:04 pm
Сообщения: 1161
Откуда: Kiev

Включать pf после загрузки ОС (при этом убрать из rc.conf), например, через rc.local или в кроне, используя слово @reboot

Вернуться к началу

AMDmi3

Заголовок сообщения: Re: странное поведение pf

Добавлено: Вт 12 фев, 2019 6:40 pm

Модератор

Зарегистрирован: Сб 11 сен, 2004 6:33 am
Сообщения: 5331
Откуда: Москва

Не надо так делать, вообще. firewall не должен ни при каких условиях зависеть от DNS.

Либо сразу прописывайте адреса, либо заведите таблицу и обновляйте её, например, из cron. Как-то так:

Код:

pfctl -t myhosts -T flush
pfctl -t myhosts -T add foo.com

Вернуться к началу

a007

Заголовок сообщения: Re: странное поведение pf

Добавлено: Ср 13 фев, 2019 12:12 pm

Зарегистрирован: Пт 27 мар, 2015 12:38 pm
Сообщения: 42

AMDmi3 писал(а):

Код:

pfctl -t myhosts -T flush
pfctl -t myhosts -T add foo.com

Выглядит как более правильное решение. Спасибо.

Вернуться к началу

Страница 1 из 1

[ Сообщений: 9 ]

Версия для печати

Пред. тема | След. тема

Список форумов » FreeBSD » FreeBSD для новичков

Часовой пояс: UTC + 4 часа

Кто сейчас на конференции

Зарегистрированные пользователи: Bing [Bot], Google [Bot]

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения