[ Home | Liste | F.A.Q. | Risorse | Cerca... ]


[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]


Archivio: openbsd@sikurezza.org
Soggetto: Re: [openbsd] PF: block all e direzioni
Mittente: mayhem
Data: Tue, 11 Oct 2005 13:35:45 +0200 (CEST)
On Tue, 2005-10-11 at 01:04 +0200, koba@xxxxxxxxxxxxx wrote:

> Block in from any to any     
> Block out from any to any
> 
> e' uguale a
> 
> block in all    
> block out all 
> 
> che e' uguale a  
> 
> block all ?
> 
> Se si allora posso semplicemente scrivere block all al posto di (block
> in/out from any to any).

si

> 2.	Le direzioni:
> 
> Un firewall OBSD con due interfacce di rete ha 8 possibili direzioni?

uh? potresti ripetere la domanda con 12 parole di piu'? le direzioni
sono 2. se vuoi fare la somma delle direzioni relative ad ogni scheda
sono 4 (2 schede+2 direzioni), ma restano comunque in ed out.

> Se non ? cos? potreste spiegarmi questa riga?
> 
>       pass out on dc0 from any to $local_net
> 
> la dc0 ? l?interfaccia collegata alla LAN.
questa riga permette il traffico proveniente da chiunque in uscita dalla
ethernet collegata alla lan verso gli indirizzi ip della lan.
non mi piace, ma e' assolutamente sensata in alcuni contesti.

> Ho problemi nell?interpretare FROM e TO oppure OUT e IN ?!?!

fai cosi': sali in piedi sopra al firewall, quello deve essere il tuo
punto di vista.
in, indipendentemente dalla scheda di cui parli, e' traffico che
dall'esterno entra (per attraversare di solito) nel firewall.
out e' traffico che il tuo firewall invia a qualcuno.

from e to invece non hanno nulla a che fare con il modo in cui il
pacchetto attraversa il firewall, si riferiscono esclusivamente ai campi
from e to dell'header a layer 3 del tuo pacchetto ip ...

combinando in/out e from/to riesci a metterti nella posizione che da una
scheda collegata ad una subnet entri ed esca solo traffico
generato/destinato agli indirizzi che realmente risiedono su quel lato
del firewall. 

un mayhem che odia tivoli ogni giorno di piu' 
-- 
Dan: Everybody wants to be happy. 
Larry: Depressives don't. They want to be unhappy to confirm they're
depressed. If they were happy they couldn't be depressed anymore. They'd
have to go out into the world and live. Which can be depressing.
https://www.recursiva.org - Key on pgp.mit.edu ID B88FE057

Attachment: signature.asc
Description: This is a digitally signed message part




[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005