© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
Oliver Fromme <olli(at)lurza.secnetix.de> writes:
>> pass out log quick on tun0 proto tcp from any to any port = 80 flags S keep state
>
> »flags S« ist generell keine gute Idee, da es nicht matcht
> wenn neben SYN noch irgendein anderes Flag gesetzt ist (was
> zwar beim initialen SYN nicht üblich, aber durchaus nicht
> ausgeschlossen ist).
Ich hatte, als ich ipf verwendet habe dann einige aus diesem Grund
blockierte ausgehende Pakete im Logfile. Weiß alber nicht genau, was
es war, und hab's dann auch auf »flags S/SA« geändert.
> Besser ist »flags S/SA«: Dies prüft,
> daß das SYN-Flag gesetzt und das ACK-Flag nicht gesetzt
> ist, und alle anderen Flags werden ignoriert. (»S/SA« wird
> gelesen: »Das Flag S ist von den Flags S und A gesetzt.«)
Das Beispiel im Handbuch »26.5.13 Inclusive Rule Set Example«
<http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/firewalls-ipf.html>
enthält »flags S«, sollte man einen Bug-Report schreiben?
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Wed 14 Jun 2006 - 22:32:28 CEST