Re: Systemanforderungen f?r reinen Router

From: Marian Hettwer <MH(at)kernel32.de>
Date: Thu, 03 Jul 2003 16:33:19 +0200



Andreas Braukmann wrote:


> On Thu, Jul 03, 2003 at 02:45:05PM +0200, Marian Hettwer wrote:


> 


>>Service unterstützen. Wer das nicht braucht... praktisch bei pf ist auch 


>>die Tatsache, daß man Listen (arrays) für ip adressen und ports anlegen 


>>kann. Das verkürzt die Menge der zu schreibenden Zeilen ungemein.


>>


>>ftp://ftp.openbsd.org/pub/OpenBSD/doc/pf-faq.txt


>><snip>


>>    block out on fxp0 from { 192.168.0.1, 10.5.32.6 } to any


>></snip>


> 


> 


> Dein Wissen ueber ipfw ist nicht ganz auf dem neuesten Stand


> wie mir scheint ;-)


>


Da hast du vollkommen recht.


Bis jetzt habe ich wohl max. 6 Stunden verteilt auf 6 Monate mit ipfw 


zugebracht ;-)



> 


>>Aber vielleicht kann ipfilter sowas ja auch. ipfw kanns meines wissens 


>>nicht.


> 


> 


> 


> Aber sicher das. Aus ipfw(8):


> [...]


>  The body of a rule contains zero or more patterns (such as specific


>  source and destination addresses or ports, protocol options, incoming or


>  outgoing interfaces, etc.)  that the packet must match in order to be


>  recognised.  In general, the patterns are connected by (implicit) and


>  operators -- i.e. all must match in order for the rule to match.  Indi-


>  vidual patterns can be prefixed by the not operator to reverse the result


>  of the match, as in


> 


>        ipfw add 100 allow ip from not 1.2.3.4 to any


> 


>  Additionally, sets of alternative match patterns ( or-blocks ) can be


>  constructed by putting the patterns in lists enclosed between parentheses


>  ( ) or braces { }, and using the or operator as follows:


> 


>        ipfw add 100 allow ip from { x or not y or z } to any


> 


>  Only one level of parentheses is allowed.


> [...]


> 


> 


okay... manpages sind halt doch was wert ...



> 


>>>Ich bin sogar eher der Meinung, daß diverse Dinge aus dem


>>>Basissystem herausoperiert und in die Ports-Collection ver-


>>>frachtet gehören.


>>>


>>


>>Riesenhafte Userland Programme wie BIND und Sendmail... vielleicht.


> 


> 


> Naja. Ich halte Paketfilter (samt komplettem Drumherum) fuer nicht


> gerade weniger komplexe Software-Einheiten. Allerdings ist das 


> aktuelle Portssystem (IMHO) auch nicht ideal zur Verwaltung von 


> "kernel-space"-Software.


>


ACK.



- Marian



np.: Six Feet Under - TNT



To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org


with "unsubscribe de-bsd-questions" in the body of the message


Received on Thu 03 Jul 2003 - 16:34:43 CEST













search this site