[BSD] FreeBSD 7.3, fxp es ipfilter

SZTANKAY Zsolt stan at mail.datanet.hu
2010. Ápr. 1., Cs, 11:12:46 CEST 

Sziasztok!

Tegnap frissitettem a rendszerem 7.2-rol 7.3-ra, ipfilter hasznaltam rajta.
Bootolas utan nem tudtam elerni a gepem netrol, majd helyi konzolrol azt
lattam, hogy az osszes csomag az ipmon listajaban bad-re vegzodik. Sehol nem
talaltam leirast a tortenesrol, konkretan a bad jelenteserol sem a log-ban.
A 7.3-ban annyi valtozas tortent, hogy az fxp drivert frissitettek, de semmi
info, hogy ilyen tortenhet az ipfilter-rel. Ha a 7.2-es kernel.old-ot
inditottam, akkor ment minden rendben, tehat a kernel es az ipfilter
szabalyok kozt van valami difi, amit az uj meghajto hozott be. Ha a 7.3-as
kernelt inditottam es kiadtam egy 'ipf -FaS' parancsot, tehát kitoroltem
minden ipfilter szabalyt, akkor ment.

Vegul az egesz tuzfalat atirtam pf-re, rovidebb es elegansabb lett, ugyhogy
most megy rendben 7.3-mal es pf-fel a gep, inkabb csak a kivancsisag
vezerel, hogy mas is talalkozott-e ezzel a jelenseggel es talalt-e valami
megoldast ra.

Az ipfilter-bol reszlet:

##### output (lo0)
pass  out     quick on lo0  all
##### input (lo0)
pass  in      quick on lo0  all
##### output (fxp0)
pass  out     quick on fxp0 proto tcp     from any to any keep state
pass  out     quick on fxp0 proto udp     from any to any keep state keep
frags
pass  out     quick on fxp0 proto icmp    from any to any keep state
##### input (fxp0)
#### default block strategy
block return-rst in log on fxp0 proto tcp from any to any
block return-icmp-as-dest(port-unr) in log on fxp0 proto udp from any to any
block in  log       on fxp0 proto icmp    all
#### block crap
block in      quick on fxp0 proto tcp     all with short
block in      quick on fxp0               all with ipopts frag
block in      quick on fxp0               from 127.0.0.0/8 to any
block in      quick on fxp0               from 10.0.0.0/8 to any
block in      quick on fxp0               from 172.16.0.0/12 to any
block in      quick on fxp0               from 192.168.0.0/16 to any
block in      quick on fxp0               from 169.254.0.0/16 to any
block in      quick on fxp0               from 224.0.0.0/4 to any
block in      quick on fxp0               from 240.0.0.0/4 to any
#### ssh
pass  in      quick on fxp0 proto tcp     from any to any port =  ssh flags
S/SA keep state

Hibasor:
31/03/2010 16:20:25.612122 fxp0 @0:18 b x,x -> x,x PR tcp len 20 52 -S IN
bad
31/03/2010 16:20:28.617721 fxp0 @0:19 b x,x -> x,x PR udp len 20 90 IN bad
31/03/2010 16:21:14.558830 fxp0 @0:2 b x,x -> x,x PR tcp len 20 48 -S IN bad

Hibat vagy az alap block-ra ad (@2), vagy a megfelelo szabalyra (@18, @19).

Az ipfilter szabalyait kritizalni nyugodtan lehet, hogy mennyire g33k, de
most nem errol van szo, hanem, hogy 7.2 alatt ment es 7.3 alatt nem megy.
;-)

Zsolt
--------- következ? rész ---------
Egy csatolt HTML állomány át lett konvertálva...
URL: <http://datacast.hu/pipermail/bsd/attachments/20100401/c142d3d1/attachment.html>

További információk a(z) BSD levelezőlistáról