[ Home | Liste | F.A.Q. | Risorse | Cerca... ]


[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]


Archivio: openbsd@sikurezza.org
Soggetto: [openbsd] Aiuto su pf.conf
Mittente: Giuseppe Magnotta
Data: Tue, 29 Nov 2005 16:04:29 +0100 (CET)
Ciao a tutti,

ho un piccolo problemino che riguarda pf.conf.

Vengo subito al sodo, ecco il mio pf:

-------------------------------
#
# MACRO
#
ext_if = "rl0"
int_if = "rl1"
desktop = "192.168.0.2"

#
# TABELLE
#
table <rfc1918> \
        { 127.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12, 10.0.0.0/8 }

#
# SCRUB
#
scrub on $ext_if random-id

#
# QUEUE
#
altq on $ext_if cbq bandwidth 256Kb queue { A, B }
 queue A bandwidth 160Kb cbq(borrow) { A0, A1 }
  queue A0 bandwidth 80% priority 0 cbq(red borrow)
  queue A1 bandwidth 20% priority 1 cbq(borrow)
 queue B bandwidth  96Kb cbq(borrow) { B0, B1 }
  queue B0 bandwidth 80% priority 6 cbq(red default borrow)
  queue B1 bandwidth 20% priority 7 cbq(borrow)

#
# TRANSLATION
#
nat on $ext_if from $int_if:network -> ($ext_if) static-port

rdr pass on $ext_if proto tcp to port 1720 -> \
        $desktop port 1720
rdr pass on $ext_if proto udp to port 5000:5016 -> \
        $desktop port 5000:*
rdr pass on $ext_if proto tcp to port 30000:30010 -> \
        $desktop port 30000:*

#
# REGOLE
#
antispoof quick for { lo0, $ext_if, $int_if } inet

block in quick on $ext_if from <rfc1918>
block out quick on $ext_if to <rfc1918>

pass out quick on $ext_if inet proto tcp from $ext_if flags S/SA \
        modulate state queue(B0, B1)
pass out quick on $ext_if inet proto { udp, icmp } from $ext_if \
        keep state queue B0
pass in quick on $ext_if inet proto tcp to ($ext_if) port \
        { ftp, ssh, 10000, > 65484 } flags S/SA keep state \
        (max-src-conn 10, max-src-conn-rate 5/1, overload <rfc1918> \
flush) queue(A0, A1)
pass in quick on $ext_if inet proto udp to ($ext_if) port 10004 keep
state (max-src-conn 10, max-src-conn-rate 5/1, overload <rfc1918> \
flush) queue A0

pass quick on { lo0, $int_if } keep state

block return
----------------------------------------------------


La prima domanda : secondo voi  possibile migliorarlo?

La seconda : nella regola 

pass in quick on $ext_if inet proto udp to ($ext_if) port 10004 keep
state (max-src-conn 10, max-src-conn-rate 5/1, overload <rfc1918> \
flush) queue A0

pf non si lamenta riguardo a "(max-src-conn 10, max-src-conn-rate
5/1..... ecc", ma non sono in grado di stabilire se funziona. Non ho
trovato da nessuna parte una spiegazione in proposito che sia possibile
usarlo pure per le connessioni udp...

La terza  questa: ho un'adsl 256Kb in upload e 4Mb in download... Come
posso modificare pf.conf in modo che la banda sia distribuita su tutta
la LAN (compreso il server)? Ci ho provato in infiniti modi... ma con
risultati negativi.

Grazie a tutti...

Spero di non essere stato troppo invadente...


Distinti Saluti.

Attachment: signature.asc
Description: Questa parte del messaggio =?ISO-8859-1?Q?=E8?= firmata




[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005