Prosim potencionalni ctenare OpenBSD PF FAQ, aby dali prednost puvodni verzi v anglictine dostupne na http://openbsd.org/faq/pf/index.html . Cesky preklad vychazi z rok stare verze dokumentu, ktera bude vzhledem k bourlivemu vyvoji PF castecne neaktualni.
Projekt ceskeho prekladu webu OpenBSD byl pred nedavnem zastaven pro nedostatek casu prekladatelu a maly zajem uzivatelu.
odporucam na uvod RFC 792 a prestudovat si preco a naco je ICMP. oblubujem stroje, kde si administrator mysli, ze ked zakaze ICMP tak zvysi bezpecnost stroja. blbost. ked uz hovorime o floodovani icmp, najjednoduchsie je mat pravidla definovane tak, ze pride x poziadavkov a ak pojde napr. za sekundu viac ako 100 paketov,zahadzujem ich.netusim ako je to vo freebsd,ale snad sa to tam da tiez nastavit.
Ano ve freebsd je tento limit v defaultni instalaci nastaven na 200/s, pomoci sysctl mozno zmenit (hodnota net.inet.icmp.icmplim), hodnota 0 takovyto limit vypne.
options IPFILTER #ipfilter support
options IPFILTER_LOG #ipfilter logging
oboje v jadre mam, jen jsem chtel vedet, jestli chybi jeste neco, protoze mi jde redirectovat porty jen na ty samy masine, ale presmerovani na jinej stroj nejede.
jo, mam to tam, ale jako brana ta masina neslouzi. Branu ma provider pod nejakym linuxem a tohle je jen stroj s ostrou IP v nasi siti, ale to by snad vadit nemelo..
net.inet.ip.forwarding=1 jsem nastaveny mel, ted me jeste napadlo, jestli to neni kvuli tomu,ze mam jen jedno sitove rozhrani a pouzivam na nem jak ostrou IP, tak IP alias pro lokalni sit.
skuste jestli jsou obe site dostupne napriklad pres icmp a pokud ano, tak se
zapnutou volbou net.inet.ip.forwarding by mel fungovat packet forwarding i v
ramci jednoho interface, alespon s ipfw to funguje.,
ping funguje jak na ostrou IP, tak i na alias. Zkousel jsem oboje, jak ipfw tak i ipf s vypnutymi filtrovacimi pravidly a vzdycky mi to zablokovalo ssh,takze jsem musel k nemu. Jen me zajimalo, jestli jsem nekde nedelal nejakou blbost,ale mel jsem vsechno , tak jak rikate.
PS: Jakou schranku mam plnou? mail? mam tak jeste 60MB volnych
pokud se ssh "zablokuje" pri nahozeni onoho pravidla, tak je pravdepodobne problem v logice toho pravidla a vy presmerujete port 22 na port 2222 na jiny stroj.
ps: imho je tato konzultace znacne offtopic, takze navrhuji ji prenest do mailove korespondence.
