Re: Systemanforderungen f?r reinen Router

From: Andreas Braukmann <braukmann(at)tse-online.de>
Date: Thu, 3 Jul 2003 16:10:59 +0200



On Thu, Jul 03, 2003 at 02:45:05PM +0200, Marian Hettwer wrote:


> Service unterstützen. Wer das nicht braucht... praktisch bei pf ist auch 


> die Tatsache, daß man Listen (arrays) für ip adressen und ports anlegen 


> kann. Das verkürzt die Menge der zu schreibenden Zeilen ungemein.


> 


> ftp://ftp.openbsd.org/pub/OpenBSD/doc/pf-faq.txt


> <snip>


>     block out on fxp0 from { 192.168.0.1, 10.5.32.6 } to any


> </snip>



Dein Wissen ueber ipfw ist nicht ganz auf dem neuesten Stand


wie mir scheint ;-)



> Aber vielleicht kann ipfilter sowas ja auch. ipfw kanns meines wissens 


> nicht.



Aber sicher das. Aus ipfw(8):


[...]


 The body of a rule contains zero or more patterns (such as specific


 source and destination addresses or ports, protocol options, incoming or


 outgoing interfaces, etc.)  that the packet must match in order to be


 recognised.  In general, the patterns are connected by (implicit) and


 operators -- i.e. all must match in order for the rule to match.  Indi-


 vidual patterns can be prefixed by the not operator to reverse the result


 of the match, as in



       ipfw add 100 allow ip from not 1.2.3.4 to any



 Additionally, sets of alternative match patterns ( or-blocks ) can be


 constructed by putting the patterns in lists enclosed between parentheses


 ( ) or braces { }, and using the or operator as follows:



       ipfw add 100 allow ip from { x or not y or z } to any



 Only one level of parentheses is allowed.


[...]



> >Ich bin sogar eher der Meinung, daß diverse Dinge aus dem


> >Basissystem herausoperiert und in die Ports-Collection ver-


> >frachtet gehören.


> >


> Riesenhafte Userland Programme wie BIND und Sendmail... vielleicht.



Naja. Ich halte Paketfilter (samt komplettem Drumherum) fuer nicht


gerade weniger komplexe Software-Einheiten. Allerdings ist das 


aktuelle Portssystem (IMHO) auch nicht ideal zur Verwaltung von 


"kernel-space"-Software.



-Andreas



-- 
sick. nature.
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message


Received on Thu 03 Jul 2003 - 16:11:06 CEST













search this site