CW
Netswimmer
Hi allerseits
Gerade habe ich in der src-Mailingliste von OpenBSD erfahren, dass dcer Packetfilter eine neue Funktion erhalten hat: "no scrub". Mit ihr lassen sich bestimmte Connections von der, bisher allgemeinen, "scrub"-Option herausnehmen. Das Ganze soll nach dem Prinzip "first matching rule wins" wie bei nat/rdr-Regeln gelten.
D.h. es wird NICHT den Filter-Regeln ähnlich sein, wo bis zum Ende durchgeparst wird und die letzte zutreffende Regel ausgeführt wird.
Hier die Mail von Aaron Campbell:
Die grundlegenden Test sind bereits durchgeführt worden:
Gerade habe ich in der src-Mailingliste von OpenBSD erfahren, dass dcer Packetfilter eine neue Funktion erhalten hat: "no scrub". Mit ihr lassen sich bestimmte Connections von der, bisher allgemeinen, "scrub"-Option herausnehmen. Das Ganze soll nach dem Prinzip "first matching rule wins" wie bei nat/rdr-Regeln gelten.
D.h. es wird NICHT den Filter-Regeln ähnlich sein, wo bis zum Ende durchgeparst wird und die letzte zutreffende Regel ausgeführt wird.
Hier die Mail von Aaron Campbell:
Code:
CVSROOT: /cvs
Module name: src
Changes by: [email]aaron@cvs.openbsd.org[/email] 2004/09/21 10:59:12
Modified files:
sbin/pfctl : parse.y pfctl.c pfctl_parser.c
share/man/man5 : pf.conf.5
sys/net : pf_ioctl.c pf_norm.c pfvar.h
Log message:
Implement "no scrub" to allow exclusion of specific traffic from scrub rules.
First match wins, just like "no {binat,nat,rdr}". henning@, dhartmei@ ok
Die grundlegenden Test sind bereits durchgeführt worden:
Code:
CVSROOT: /cvs
Module name: src
Changes by: [email]aaron@cvs.openbsd.org[/email] 2004/09/21 10:59:49
Modified files:
regress/sbin/pfctl: pf15.in pf15.loaded pf15.ok pf68.in
pf68.loaded pf68.ok
Log message:
Basic tests for new "no scrub" functionality.