Re: Probleme mit pf - Bug?

From: Matthias Fechner <idefix(at)fechner.net>
Date: Wed, 4 Oct 2006 23:02:32 +0200

Hallo Peter,

* Peter Ross <Peter.Ross(at)alumni.tu-berlin.de> [04-10-06 21:50]:
> Naja.. ich hgabe Deine Ursprungsmail nicht mehr, habe in Erinnerung, dass
> Du ein paar pf-Regeln hattest und sagtest, Du koenntest sie laden, (mit
> pfctl, nehme ich an), aber /etc/rc.d/pf wuerde die Maschine toeten..

hm, vielleicht habe ich mich auch entwas ungenau ausgedrückt.
Ich habe mir selber ein config File geschrieben, dafür steht in der
/etc/rc.conf:
pf_enable="YES"
pf_rules="/usr/local/firewall/server.conf"

> Tja, und mir faellt auch keinerlei Manpage ein, in der drinsteht: "und das
> killt Ihren Rechner";-)

ich hatte so ein ähnliches Problem schon mal, als ich Regeln auf GID
festgemacht hatte. Das steht aber auch in der man-page drin das es
damit Probleme gibt und hab das dann auch wieder rausgeworfen.

> Tja, also klingt der von Dir geschilderte Fall ziemlich mysterioes..

was ich jetzt drin habe ist, eine Table die aus einer Datei geladen
wird, hier nochmal die Regeln:
table <bruteforce> persist file "/usr/local/firewall/bruteforce"
block in log quick inet from <bruteforce> to any label "RULE 1 \
-- DROP "
pass in log quick inet proto tcp from any to any port 22 flags \
S/AS modulate state ( max-src-conn 100 max-src-conn-rate 5/10,
overload \
<bruteforce> flush global ) label "RULE 2 -- ACCEPT "

Beim ersten mal laden klappt es, also zum Neustart des Systems.
Wenn ich aber jetzt die Firewall manuell neu laden mit
/etc/rc.d/pf restart dann hängt sich der Rechner komplett auf.

Ich bin mir nicht sicher aber ich glaube das pf versucht die Regeln
der Tabelle in die Datei zu schreiben und da geht was schief, was das
System zum Komplettabsturz bringt; das ist aber nur eine Vermutung.

Gruss
Matthias

-- 
"Programming today is a race between software engineers striving to
build bigger and better idiot-proof programs, and the universe trying to
produce bigger and better idiots. So far, the universe is winning." --
Rich Cook
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Wed 04 Oct 2006 - 23:05:11 CEST

search this site