Neue Option in OpenBSD's PF

CW

Netswimmer
Hi allerseits

Gerade habe ich in der src-Mailingliste von OpenBSD erfahren, dass dcer Packetfilter eine neue Funktion erhalten hat: "no scrub". Mit ihr lassen sich bestimmte Connections von der, bisher allgemeinen, "scrub"-Option herausnehmen. Das Ganze soll nach dem Prinzip "first matching rule wins" wie bei nat/rdr-Regeln gelten.

D.h. es wird NICHT den Filter-Regeln ähnlich sein, wo bis zum Ende durchgeparst wird und die letzte zutreffende Regel ausgeführt wird.

Hier die Mail von Aaron Campbell:

Code:
CVSROOT:	/cvs
Module name:	src
Changes by:	[email]aaron@cvs.openbsd.org[/email]	2004/09/21 10:59:12

Modified files:
	sbin/pfctl     : parse.y pfctl.c pfctl_parser.c 
	share/man/man5 : pf.conf.5 
	sys/net        : pf_ioctl.c pf_norm.c pfvar.h 

Log message:
Implement "no scrub" to allow exclusion of specific traffic from scrub rules.
First match wins, just like "no {binat,nat,rdr}".  henning@, dhartmei@ ok


Die grundlegenden Test sind bereits durchgeführt worden:

Code:
CVSROOT:	/cvs
Module name:	src
Changes by:	[email]aaron@cvs.openbsd.org[/email]	2004/09/21 10:59:49

Modified files:
	regress/sbin/pfctl: pf15.in pf15.loaded pf15.ok pf68.in 
	                    pf68.loaded pf68.ok 

Log message:
Basic tests for new "no scrub" functionality.
 

Maledictus

FreeBSD ftw
Ich finde PF wirklich beeindruckend von den Fähigkeiten her, ABER dieses hin und her mit "first matching rule wins" oder "last matching rule wins" finde ich absolut bescheiden und benutzerunfreundlich.
Außerdem ist die Syntax weder schön noch übersichtlich. Schade.
 

CW

Netswimmer
Maledictus schrieb:
Ich finde PF wirklich beeindruckend von den Fähigkeiten her, ABER dieses hin und her mit "first matching rule wins" oder "last matching rule wins" finde ich absolut bescheiden und benutzerunfreundlich.
Außerdem ist die Syntax weder schön noch übersichtlich. Schade.

Ich will jetzt nicht mit Vergleichen anfangen ... jedem das Seine ... aber bitte nicht im NEWS-Feld!
 
Oben