BSDPORTAL.RU

На этом сайте обсуждаются вопросы использования ОС FreeBSD
 Портал  •  Статьи  •  Форум  •  Wiki  •  Поиск  •  FAQ  •  Обои  •   Официальная документация  •  Новые темы 

Часовой пояс: UTC + 4 часа




Начать новую тему Ответить на тему  [ Сообщений: 9 ] 
Автор Сообщение
 Заголовок сообщения: странное поведение pf
СообщениеДобавлено: Пн 11 фев, 2019 11:43 pm 
Не в сети

Зарегистрирован: Пт 27 мар, 2015 12:38 pm
Сообщения: 37
заметил странную особенность работы:
если в /etc/pf.conf добавить правило какое-либо с доменным именем (в том числе и с FQDN) например
Код:
rdp pass on $INET_IF proto tcp from xxx.com  to any port 22222 -> 10.0.0.2 port 22

то
Код:
pfctl -nf /etc/pf.conf

ошибок не находит, а
Код:
pfctl -f /etc/pf.conf

загружает все правила и преобразует доменное имя в IP о чем свидетельствует
Код:
pfctl -s nat

и вроде бы все нормально, но.....
если перезагрузить такой сервер, то правила pf просто не загружаются, как будто есть ошибка в pf.
если же убрать правило с доменным именем, то все ок
Как в pf использовать доменные имена, чтобы нормально загружались правила pf при перезагрузки?
В /etc/rc.conf и с прописанным путем pf_rules="/etc/pf.conf" и без,- ситуация одинаковая.
Что я сделал не так?
Такая вещь наблюдаю в FreeBSD 12 и FreeBSD 11.2


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: странное поведение pf
СообщениеДобавлено: Вт 12 фев, 2019 12:16 am 
Не в сети
Модератор

Зарегистрирован: Сб 11 сен, 2004 6:33 am
Сообщения: 5247
Откуда: Москва
В конфигах firewall'ов нельзя использовать доменные имена, потому что во время настройки firewall'а резолвинг может не работать. Да и вообще это ущербная идея, учитывая динамическую природу DNS.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: странное поведение pf
СообщениеДобавлено: Вт 12 фев, 2019 11:21 am 
Не в сети

Зарегистрирован: Пт 27 мар, 2015 12:38 pm
Сообщения: 37
AMDmi3 писал(а):
В конфигах firewall'ов нельзя использовать доменные имена,

Странно, в man написано обратное, да и тут: https://www.opennet.ru/base/net/pf_faq.txt.html
AMDmi3 писал(а):
потому что во время настройки firewall'а резолвинг может не работать.

Это как это?
AMDmi3 писал(а):
Да и вообще это ущербная идея, учитывая динамическую природу DNS.

Так подскажите правильное решение задачи: разрешения входа на сервис только с какого-либо хоста , использующего DDNS.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: странное поведение pf
СообщениеДобавлено: Вт 12 фев, 2019 11:25 am 
Не в сети

Зарегистрирован: Пт 27 мар, 2015 12:38 pm
Сообщения: 37
a007 писал(а):
если перезагрузить такой сервер, то правила pf просто не загружаются, как будто есть ошибка в pf.

уточню:не загружается вообще ни одно правило.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: странное поведение pf
СообщениеДобавлено: Вт 12 фев, 2019 11:46 am 
Не в сети
Аватара пользователя

Зарегистрирован: Пн 26 мар, 2007 6:04 pm
Сообщения: 1129
Откуда: Kiev
a007 писал(а):
AMDmi3 писал(а):
В конфигах firewall'ов нельзя использовать доменные имена,

Странно, в man написано обратное, да и тут: https://www.opennet.ru/base/net/pf_faq.txt.html
AMDmi3 писал(а):
потому что во время настройки firewall'а резолвинг может не работать.

Это как это?

Это так, как вам и написали: во время старта ОС файервол может стартовать раньше службы резолвинга. Как быть в таком случае?

_________________
"Винда съела дрова и резет здесь не фурычит"
"Все говорят, что у меня /dev/hands кривой и я всё делаю через /dev/ass. А у меня этих файлов вообще нет!"


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: странное поведение pf
СообщениеДобавлено: Вт 12 фев, 2019 12:24 pm 
Не в сети

Зарегистрирован: Пт 27 мар, 2015 12:38 pm
Сообщения: 37
Цитата:
Это так, как вам и написали: во время старта ОС файервол может стартовать раньше службы резолвинга. Как быть в таком случае?

Спасибо, из предыдущего поста мне было не очевидно:"как это"
Мне бы направление для решения :-(


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: странное поведение pf
СообщениеДобавлено: Вт 12 фев, 2019 12:30 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Пн 26 мар, 2007 6:04 pm
Сообщения: 1129
Откуда: Kiev
Включать pf после загрузки ОС (при этом убрать из rc.conf), например, через rc.local или в кроне, используя слово @reboot

_________________
"Винда съела дрова и резет здесь не фурычит"
"Все говорят, что у меня /dev/hands кривой и я всё делаю через /dev/ass. А у меня этих файлов вообще нет!"


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: странное поведение pf
СообщениеДобавлено: Вт 12 фев, 2019 6:40 pm 
Не в сети
Модератор

Зарегистрирован: Сб 11 сен, 2004 6:33 am
Сообщения: 5247
Откуда: Москва
Не надо так делать, вообще. firewall не должен ни при каких условиях зависеть от DNS.

Либо сразу прописывайте адреса, либо заведите таблицу и обновляйте её, например, из cron. Как-то так:

Код:
pfctl -t myhosts -T flush
pfctl -t myhosts -T add foo.com


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: странное поведение pf
СообщениеДобавлено: Ср 13 фев, 2019 12:12 pm 
Не в сети

Зарегистрирован: Пт 27 мар, 2015 12:38 pm
Сообщения: 37
AMDmi3 писал(а):
Не надо так делать, вообще. firewall не должен ни при каких условиях зависеть от DNS.

Либо сразу прописывайте адреса, либо заведите таблицу и обновляйте её, например, из cron. Как-то так:

Код:
pfctl -t myhosts -T flush
pfctl -t myhosts -T add foo.com

Выглядит как более правильное решение. Спасибо.


Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 9 ] 

Часовой пояс: UTC + 4 часа


Кто сейчас на конференции

Зарегистрированные пользователи: нет зарегистрированных пользователей


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB
Яндекс.Метрика