scrub in pf(4) ab OpenBSD 4.6

Herakles · 11 Dezember 2009

Moin!

Ich richte mir gerade pf(4) für OpsnBSD 4.6 ein. Dabei fiel mir auf, dass eine scrub-regel immer einen Syntax-Error hervorruft. Ein Blick auf die Releaseinfo zu 4.6 hat das hier hervorgebracht:

# Removed pf(4) scrub rules, and only do one kind of packet reassembly. Rulesets with scrub rules need to be modified because of this.
# Regular rules can now have per-rule scrub options.
# Added new "match" keyword which only applies rule options but does not change the current pass/block state.

In dem pf User's Guide hab ich allerdings keine hilfe zur "neuen" Nutzung ab 4.6 gefunden. Hat jemand Erfahrung mit pf und scrub ab 4.6? Wie ist die Syntax?

match in all scrub

ist ebenfalls ein Syntax Error...

Danke, Herakles

Surtur · 11 Dezember 2009

Hi Herakles!

match in all scrub

Da habe ich damals beim konvertieren meiner Regeln auch mal kurz nachschauen müssen.

Siehe in der "TRAFFIC NORMALISATION" Sektion unter "Scrub" im Manual der pf.conf:

Parameters are specified enclosed in parentheses. At least one of the following parameters must be specified

(Geht übrigens auch aus der Grammar in BNF klar hervor.) Von daher willst du:

match in all scrub ( PARAMETER )

Lg Surtur

Herakles · 12 Dezember 2009

Vielen Dank! Das war die Lösung. Ab jetzt lese ich also nur noch die manpage und nicht mehr das online-FAQ

Die Regel lautet bei mir ab jetzt:

########## Scrub ############
# normalize packets(scrub)
# clear the don't fragment bit(no-df)
# give them a random-id to improve security(random-id)
match in all scrub (no-df random-id)

Herakles

scrub in pf(4) ab OpenBSD 4.6

Herakles

Profifragensteller

Surtur

New Member

Herakles

Profifragensteller

Wir schützen deine Privatsphäre