BSDPORTAL.RU
http://bsdportal.ru/

странное поведение pf
http://bsdportal.ru/viewtopic.php?f=58&t=28908
Страница 1 из 1

Автор:  a007 [ Пн 11 фев, 2019 11:43 pm ]
Заголовок сообщения:  странное поведение pf

заметил странную особенность работы:
если в /etc/pf.conf добавить правило какое-либо с доменным именем (в том числе и с FQDN) например
Код:
rdp pass on $INET_IF proto tcp from xxx.com  to any port 22222 -> 10.0.0.2 port 22

то
Код:
pfctl -nf /etc/pf.conf

ошибок не находит, а
Код:
pfctl -f /etc/pf.conf

загружает все правила и преобразует доменное имя в IP о чем свидетельствует
Код:
pfctl -s nat

и вроде бы все нормально, но.....
если перезагрузить такой сервер, то правила pf просто не загружаются, как будто есть ошибка в pf.
если же убрать правило с доменным именем, то все ок
Как в pf использовать доменные имена, чтобы нормально загружались правила pf при перезагрузки?
В /etc/rc.conf и с прописанным путем pf_rules="/etc/pf.conf" и без,- ситуация одинаковая.
Что я сделал не так?
Такая вещь наблюдаю в FreeBSD 12 и FreeBSD 11.2

Автор:  AMDmi3 [ Вт 12 фев, 2019 12:16 am ]
Заголовок сообщения:  Re: странное поведение pf

В конфигах firewall'ов нельзя использовать доменные имена, потому что во время настройки firewall'а резолвинг может не работать. Да и вообще это ущербная идея, учитывая динамическую природу DNS.

Автор:  a007 [ Вт 12 фев, 2019 11:21 am ]
Заголовок сообщения:  Re: странное поведение pf

AMDmi3 писал(а):
В конфигах firewall'ов нельзя использовать доменные имена,

Странно, в man написано обратное, да и тут: https://www.opennet.ru/base/net/pf_faq.txt.html
AMDmi3 писал(а):
потому что во время настройки firewall'а резолвинг может не работать.

Это как это?
AMDmi3 писал(а):
Да и вообще это ущербная идея, учитывая динамическую природу DNS.

Так подскажите правильное решение задачи: разрешения входа на сервис только с какого-либо хоста , использующего DDNS.

Автор:  a007 [ Вт 12 фев, 2019 11:25 am ]
Заголовок сообщения:  Re: странное поведение pf

a007 писал(а):
если перезагрузить такой сервер, то правила pf просто не загружаются, как будто есть ошибка в pf.

уточню:не загружается вообще ни одно правило.

Автор:  skeletor [ Вт 12 фев, 2019 11:46 am ]
Заголовок сообщения:  Re: странное поведение pf

a007 писал(а):
AMDmi3 писал(а):
В конфигах firewall'ов нельзя использовать доменные имена,

Странно, в man написано обратное, да и тут: https://www.opennet.ru/base/net/pf_faq.txt.html
AMDmi3 писал(а):
потому что во время настройки firewall'а резолвинг может не работать.

Это как это?

Это так, как вам и написали: во время старта ОС файервол может стартовать раньше службы резолвинга. Как быть в таком случае?

Автор:  a007 [ Вт 12 фев, 2019 12:24 pm ]
Заголовок сообщения:  Re: странное поведение pf

Цитата:
Это так, как вам и написали: во время старта ОС файервол может стартовать раньше службы резолвинга. Как быть в таком случае?

Спасибо, из предыдущего поста мне было не очевидно:"как это"
Мне бы направление для решения :-(

Автор:  skeletor [ Вт 12 фев, 2019 12:30 pm ]
Заголовок сообщения:  Re: странное поведение pf

Включать pf после загрузки ОС (при этом убрать из rc.conf), например, через rc.local или в кроне, используя слово @reboot

Автор:  AMDmi3 [ Вт 12 фев, 2019 6:40 pm ]
Заголовок сообщения:  Re: странное поведение pf

Не надо так делать, вообще. firewall не должен ни при каких условиях зависеть от DNS.

Либо сразу прописывайте адреса, либо заведите таблицу и обновляйте её, например, из cron. Как-то так:

Код:
pfctl -t myhosts -T flush
pfctl -t myhosts -T add foo.com

Автор:  a007 [ Ср 13 фев, 2019 12:12 pm ]
Заголовок сообщения:  Re: странное поведение pf

AMDmi3 писал(а):
Не надо так делать, вообще. firewall не должен ни при каких условиях зависеть от DNS.

Либо сразу прописывайте адреса, либо заведите таблицу и обновляйте её, например, из cron. Как-то так:

Код:
pfctl -t myhosts -T flush
pfctl -t myhosts -T add foo.com

Выглядит как более правильное решение. Спасибо.

Страница 1 из 1 Часовой пояс: UTC + 4 часа
Powered by phpBB® Forum Software © phpBB Group
http://www.phpbb.com/