BSDPORTAL.RU

На этом сайте обсуждаются вопросы использования ОС FreeBSD
 Портал  •  Статьи  •  Форум  •  Wiki  •  Поиск  •  FAQ  •  Обои  •   Официальная документация  •  Новые темы 

Часовой пояс: UTC + 4 часа




Начать новую тему Ответить на тему  [ Сообщений: 9 ] 
Автор Сообщение
 Заголовок сообщения: странное поведение pf
СообщениеДобавлено: Пн 11 фев, 2019 11:43 pm 
Не в сети

Зарегистрирован: Пт 27 мар, 2015 12:38 pm
Сообщения: 37
заметил странную особенность работы:
если в /etc/pf.conf добавить правило какое-либо с доменным именем (в том числе и с FQDN) например
Код:
rdp pass on $INET_IF proto tcp from xxx.com  to any port 22222 -> 10.0.0.2 port 22

то
Код:
pfctl -nf /etc/pf.conf

ошибок не находит, а
Код:
pfctl -f /etc/pf.conf

загружает все правила и преобразует доменное имя в IP о чем свидетельствует
Код:
pfctl -s nat

и вроде бы все нормально, но.....
если перезагрузить такой сервер, то правила pf просто не загружаются, как будто есть ошибка в pf.
если же убрать правило с доменным именем, то все ок
Как в pf использовать доменные имена, чтобы нормально загружались правила pf при перезагрузки?
В /etc/rc.conf и с прописанным путем pf_rules="/etc/pf.conf" и без,- ситуация одинаковая.
Что я сделал не так?
Такая вещь наблюдаю в FreeBSD 12 и FreeBSD 11.2


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: странное поведение pf
СообщениеДобавлено: Вт 12 фев, 2019 12:16 am 
Не в сети
Модератор

Зарегистрирован: Сб 11 сен, 2004 6:33 am
Сообщения: 5236
Откуда: Москва
В конфигах firewall'ов нельзя использовать доменные имена, потому что во время настройки firewall'а резолвинг может не работать. Да и вообще это ущербная идея, учитывая динамическую природу DNS.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: странное поведение pf
СообщениеДобавлено: Вт 12 фев, 2019 11:21 am 
Не в сети

Зарегистрирован: Пт 27 мар, 2015 12:38 pm
Сообщения: 37
AMDmi3 писал(а):
В конфигах firewall'ов нельзя использовать доменные имена,

Странно, в man написано обратное, да и тут: https://www.opennet.ru/base/net/pf_faq.txt.html
AMDmi3 писал(а):
потому что во время настройки firewall'а резолвинг может не работать.

Это как это?
AMDmi3 писал(а):
Да и вообще это ущербная идея, учитывая динамическую природу DNS.

Так подскажите правильное решение задачи: разрешения входа на сервис только с какого-либо хоста , использующего DDNS.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: странное поведение pf
СообщениеДобавлено: Вт 12 фев, 2019 11:25 am 
Не в сети

Зарегистрирован: Пт 27 мар, 2015 12:38 pm
Сообщения: 37
a007 писал(а):
если перезагрузить такой сервер, то правила pf просто не загружаются, как будто есть ошибка в pf.

уточню:не загружается вообще ни одно правило.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: странное поведение pf
СообщениеДобавлено: Вт 12 фев, 2019 11:46 am 
Не в сети
Аватара пользователя

Зарегистрирован: Пн 26 мар, 2007 6:04 pm
Сообщения: 1128
Откуда: Kiev
a007 писал(а):
AMDmi3 писал(а):
В конфигах firewall'ов нельзя использовать доменные имена,

Странно, в man написано обратное, да и тут: https://www.opennet.ru/base/net/pf_faq.txt.html
AMDmi3 писал(а):
потому что во время настройки firewall'а резолвинг может не работать.

Это как это?

Это так, как вам и написали: во время старта ОС файервол может стартовать раньше службы резолвинга. Как быть в таком случае?

_________________
"Винда съела дрова и резет здесь не фурычит"
"Все говорят, что у меня /dev/hands кривой и я всё делаю через /dev/ass. А у меня этих файлов вообще нет!"


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: странное поведение pf
СообщениеДобавлено: Вт 12 фев, 2019 12:24 pm 
Не в сети

Зарегистрирован: Пт 27 мар, 2015 12:38 pm
Сообщения: 37
Цитата:
Это так, как вам и написали: во время старта ОС файервол может стартовать раньше службы резолвинга. Как быть в таком случае?

Спасибо, из предыдущего поста мне было не очевидно:"как это"
Мне бы направление для решения :-(


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: странное поведение pf
СообщениеДобавлено: Вт 12 фев, 2019 12:30 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Пн 26 мар, 2007 6:04 pm
Сообщения: 1128
Откуда: Kiev
Включать pf после загрузки ОС (при этом убрать из rc.conf), например, через rc.local или в кроне, используя слово @reboot

_________________
"Винда съела дрова и резет здесь не фурычит"
"Все говорят, что у меня /dev/hands кривой и я всё делаю через /dev/ass. А у меня этих файлов вообще нет!"


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: странное поведение pf
СообщениеДобавлено: Вт 12 фев, 2019 6:40 pm 
Не в сети
Модератор

Зарегистрирован: Сб 11 сен, 2004 6:33 am
Сообщения: 5236
Откуда: Москва
Не надо так делать, вообще. firewall не должен ни при каких условиях зависеть от DNS.

Либо сразу прописывайте адреса, либо заведите таблицу и обновляйте её, например, из cron. Как-то так:

Код:
pfctl -t myhosts -T flush
pfctl -t myhosts -T add foo.com


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: странное поведение pf
СообщениеДобавлено: Ср 13 фев, 2019 12:12 pm 
Не в сети

Зарегистрирован: Пт 27 мар, 2015 12:38 pm
Сообщения: 37
AMDmi3 писал(а):
Не надо так делать, вообще. firewall не должен ни при каких условиях зависеть от DNS.

Либо сразу прописывайте адреса, либо заведите таблицу и обновляйте её, например, из cron. Как-то так:

Код:
pfctl -t myhosts -T flush
pfctl -t myhosts -T add foo.com

Выглядит как более правильное решение. Спасибо.


Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 9 ] 

Часовой пояс: UTC + 4 часа


Кто сейчас на конференции

Зарегистрированные пользователи: Bing [Bot], Google [Bot]


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
cron
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB
Яндекс.Метрика