PF: Redundante Regeln?

S

SteWo

OpenBSD User
Hallo!

Wahrscheinlich bin ich nur überarbeitet, aber die folgenden zwei Regeln aus meiner pf.conf scheinen redundant zu sein:
Code: 
set skip on lo0
und
Code: 
pass quick on lo0
m.E. reicht die skip-Regel aus. Ist das so richtig?

Vielen Dank für einen kurzen Hinweis.

Allen ein schönes Wochenende,
SteWo
 
die letzte Regel blockt alles an lo0, ich weiß jetzt nicht ob das Interface richtig gesetzt ist..ich hab noch Zeit bis 31.12:D
 
>m.E. reicht die skip-Regel aus. Ist das so richtig?
Ja.
Mit 'skip' wird das Interface von pf als nicht mehr vorhanden angesehen und wird in keine Prüfung mehr mit einbezogen. Wird i.d.R. an lo0 angewandt.
Alles das gibts übrigens erschöpfendtstens erklärt:
http://www.openbsd.org/faq/pf/index.html
http://home.nuug.no/~peter/pf/en/

Unbedingt empfehlenswert, auch mit einfachen Englischkenntnissen verständlich.



@Flex6: wie jetzt ???? 'pass' bedeutet '[packete] passieren, erlauben, getatten'

Gruss
Metro
 
metro schrieb:
Mit 'skip' wird das Interface von pf als nicht mehr vorhanden angesehen und wird in keine Prüfung mehr mit einbezogen. Wird i.d.R. an lo0 angewandt.
Zum Vergrößern anklicken....
Wenn man aber z.B. Jails verwendet und die Kommunikation von denen unterinander oder mit Host einschränken will, sollte man nicht skippen!
 
soul_rebel schrieb:
Wenn man aber z.B. Jails verwendet und die Kommunikation von denen unterinander oder mit Host einschränken will, sollte man nicht skippen!
Zum Vergrößern anklicken....
Jails haben doch gar keinen localhost, sondern nur ein externes Interface.

Warum also auf dem Host, auf dem die Gast-Jails laufen lo0 nicht skippen? Jails haben keinen localhost und können auch nicht über die localhost-Adresse des Hosts kommunizieren. Wenn das so wäre, dann wäre es keine Jail mehr, sondern ein chroot.
 
Mercí!

Hallo zusammen!

Zunächst einmal vielen DANK an alle, die sich mit der Frage befasst haben!

Ich habe die von metro genannten zwei Quellen auch schon konsultiert und versucht, mir damit meinen Reim zu machen, aber so deutlich habe ich es nicht gefunden und war daher etwas verunsichert.

Nur um das Thema "rund" zu bekommen: Wenn ich das Interface mit "skip" von der weiteren PF-Verarbeitung ausnehme, sollte (zumindest theoretisch) auch der Durchsatz höher sein als bei der "pass quick"-Regel? Richtig gedacht?

Übrigens: Peter Hansten bringt sein PF-Wissen nun auch als Buch heraus. Ich habe es mir bestellt und werde versuchen, mir etwas Zeit für eine kleine Rezension zu nehmen.

Nochmals Danke und euch Allen eine schöne Woche!

SteWo
 
Book of PF

Na - da ist die Vorfreude auf das Buch doch gleich noch mal so schön!

Und wenn ich mir eine Rezension sparen kann, bin ich auch nicht böse. ;)

Aber Danke für den Hinweis!

Gruß,
SteWo
 
>Wenn ich das Interface mit "skip" von der weiteren PF-Verarbeitung ausnehme, sollte (zumindest >theoretisch) auch der Durchsatz höher sein als bei der "pass quick"-Regel?
Ja. Zumindest theoretisch :)

Ich habe eben gerade (nach rund 8 Jahren) festgestellt, daß die guten Leute von obsd eine GUTE deutsche Übersetzung/Version ihrer FAQ auf der Webseite haben.
(lasst mich mit meinem tiefen Schmerz alleine, der Kopf und die Wand...)

Trotzdem: hier Stellen, die sich damit befassen:
für 'quick'
http://www.openbsd.org/faq/pf/de/filter.html#quick

für 'skip' gibts auch hier was
http://www.openbsd.org/faq/pf/de/filter.html#antispoof
 
Das nicht, aber es ist damit möglich, Jails auch unter OBSD zu haben. Oder verwendest du keine Pakete, sondern nur das Basis-System? :D
 
Nein, ich nutze schon Pakete. Allerdings gibt es sysjail weder in ports noch in packages. Und fremde packages installier ich nicht. Außerdem bezweifle ich, dass sysjail viel Nutzen bringt. (Ja, ich habs mal ausprobiert.)
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben