Englisch-Verständnis-Problem

[Herakles]

Bin ich zu blöd? Ich verstehe den folgenden Abschnitt nicht:

Unlike some other firewalls, PF doesn't stop rule parsing when it finds a match. Instead, it notes the fact that it is planning on blocking the packet, and moves on to the next rule.

Das habe ich aus der pf-FAQ

http://www.dsinet.org/mirrors/pf-howto/html/node3.html#firewall_loading_your_ruleset

Sorry, ich verstehe nicht, was damit gemeint ist...


DANKE!

 

[CMW]

Mein Übersetzungsversuch:

Nicht so wie andere Firewalls, stoppt PF nicht mit dem Analysieren der Regeln wenn es eine Übereinstimmung findet. Stattdessen "notiert" (vermutlich in einem Logfile ?!?) er/es die Tatsache , das er/es plant das Packet zu blocken, und macht mit der nächsten Regel weiter.

Heißt vermutlich, dass er nicht nach einer übereinstimmung aufhört, sondern auch die anderen Regeln mit dem Paket anwendet. (Ist aber nur eine blasse vermutung)

Ich hoffe das hilft dir weiter...

 

[kith]

yeap so ungefaehr (bloss das es nicht in einem logfile notiert wird). das verhalten laesst sich uebrigens mit dem schluesselwort "quick" umgehen.
also:

pass in all
block in all

bedeutet, dass alle eingehenden packete geblockt werden, da die letzte regel, die "matched" ausgefuehrt wird.

 

[ex-user_280]

Meiner Meinung nach ist ein Regelwerk das mit dem Schlüsselwort "quick" erstellt wurde viel besser zu administrieren. Bei der anderen Variante wird es immer komplizierter je größer das Regelwerk wird.

Thomas

 

[CW]

Original geschrieben von Herakles
Bin ich zu blöd? Ich verstehe den folgenden Abschnitt nicht:

Unlike some other firewalls, PF doesn't stop rule parsing when it finds a match. Instead, it notes the fact that it is planning on blocking the packet, and moves on to the next rule.

Das habe ich aus der pf-FAQ

http://www.dsinet.org/mirrors/pf-howto/html/node3.html#firewall_loading_your_ruleset

Sorry, ich verstehe nicht, was damit gemeint ist...


DANKE!

Kurze Erklärung deiner Frage: LETZTE ZUTREFFENDE REGEL WIRD AUSGEFÜHRT.

Willst du dass eine Regel sofort ausgeführt wird (d.h. als die LETZTE betrachtet wird), dann benutzt du quick.

Das ist der ganze "Zauber" bei der Sache.

Es wird so lange geparst (also von oben nach unten) bis alle Regeln (die passend wären) durchgefressen sind und die letzte von diesen allen wird ausgeführt, ES SEI DENN man setzt quick ein.

Zufrieden?

Gruß

CW

 

[CW]

Original geschrieben von CMW
Mein Übersetzungsversuch:

Nicht so wie andere Firewalls, stoppt PF nicht mit dem Analysieren der Regeln wenn es eine Übereinstimmung findet. Stattdessen "notiert" (vermutlich in einem Logfile ?!?)

Notieren schon, nur nicht im Logfile (wäre zu lahm). Dazu benutzt man den Arbeitsspeicher.

er/es die Tatsache , das er/es plant das Packet zu blocken, und macht mit der nächsten Regel weiter.

Es macht so lange bis:

a) alle Regeln geparst sind

b) die letzte dieser Regeln für das jeweilige Datenpaket zutrifft

c) diese dann auch ausgeführt wird

d) ... "und das nächste Datenpaket zur Konrolle bitte"

Heißt vermutlich, dass er nicht nach einer übereinstimmung aufhört, sondern auch die anderen Regeln mit dem Paket anwendet. (Ist aber nur eine blasse vermutung)

Ich hoffe das hilft dir weiter...

Genau ... denn es kann auch übereinstimmendere Regeln geben (z.B. die letzte von allen möglichen bzw. die mit quick ist so eine )

Gruß

CW

 

[CMW]

Also lag ich garnicht soooo daneben ;-) !

 

[Maledictus]

Kann mir mal jemand den Sinn dahinter erklären?
Warum einfach wenn es auch umständlich geht?

 

[double-p]

Meinst Du den englischen Satz an sich, oder das generelle Verhalten?

Letzteres ergibt eine flexible Konfigurationsmoeglichkeit, die so in
zB iptables (argh, argh) oder FW1 (aaaargh) zum Teil sogar unmoeglich ist.

Ist einer zB iptables "gewohnt" und will nicht umstellen, nimmt man IMMER
'quick' und hat resultierend das gleiche verhalten (first-match always wins).

Ohne jegliches 'quick' hat man ein 'last-match always wins'.

Gemixt ist es halt gemixt. Your choice ;-)

HTH,