[ Home | Liste | F.A.Q. | Risorse | Cerca... ]


[ Data: precedente | successivo | indice ] [ Argomento: precedente | successivo | indice ]


Archivio: openbsd@sikurezza.org
Soggetto: Re: [openbsd] problema con pf e connessioni smtp
Mittente: Matteo Mancini
Data: Wed, 15 Mar 2006 21:00:18 +0100 (CET)
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

> da manuale (pf.conf):
>      set optimization
>            aggressive
>                  Aggressively expire connections.  This can greatly reduce the
>                  memory usage of the firewall at the cost of dropping idle
>                  connections early.
> 

> smtp e` un po' speciale rispetto agli altri, e non ha certo bisogno di una
> temporizzazione TCP aggressive. Non so se sia la causa, ma certamente
> hai fatto una cosa inadatta proprio per smtp (puoi anche fare una
> temporizzazione dedicata per smtp mettendo i parametri tra parentesi).

ho fatto anche la prova di togliere la suddetta voce ma non e' questo il
 problema


> 
> [Non dimenticare che il tuo PF non logga in uscita, ma solo in
> ingresso, casomai puo` aver senso fare il contrario].

Ho fatto anche questo ma senza risultati, tutto il traffico in uscita da
un certo set di ip (table <server>) e' accettato


> Non hai usato i flag tcp di inizio connessione (flags S/SA) per una
> regola keep state.
> 
> Questo e` quello che ho notato divertendomi a vedere il tuo pf.conf,
> ci sara` probabilmente anche qualcos'altro perche` ovunque buttavo l'occhio
> c'erano errori.

Il  file che ho girato e' l'ultimo dopo una lunga serie di modifiche,
per cercare di risolvere il problema...
Nel pf.conf originale tutte le connessioni tcp avevano "flags S/SA keep
state"..cmq il controllo dei flags di inzio connessione e' solo un
vincolo ulteriore, quindi toglierli e' stato un modo per far passare
tutto basta che rispetti protocollo-ip-porta.


Ciao

Matteo
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.1 (GNU/Linux)

iD8DBQFEGHH+/TjXD9LUVswRAs+9AKCupC+kkAEsFuOiKSnu9ftLRKxk5gCfSD+j
eyR0URwFij2e3sZS7x04+eY=
=l3b8
-----END PGP SIGNATURE-----




[ Home | Liste | F.A.Q. | Risorse | Cerca... ]

www.sikurezza.org - Italian Security Mailing List
(c) 1999-2005