Est-il possible d'affecter un paquet à une « queue » dans une règle,
puis filtrer ce paquet par d'autres règles par la suite?
La page de man de pf.conf précise que les « tags » sont sticky, mais
ne dit rien à propos des « queues », et je ne trouve aucun exemple
utilisant cette propriété éventuelle. Pourtant ça me semblerait assez
intuitif et pratique.
Je voudrais écrire quelque chose comme:
<<<<<<<
# Tout le trafic SSH sortant est affecté à une queue particulière
pass out on $ext_if from any to any port 22 queue ssh_q
# Le filtrage fin est réalisé ici
block in all
pass in quick on $prv_if from $admin_host \
to any port 22 flags S/SA modulate state
>>>>>>>
mais je me demande si l'affectation à la queue « ssh_q » sera
conservée par les règles suivantes.
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Eric Masson
Jérémy JUST writes:
'Lut,
Est-il possible d'affecter un paquet à une « queue » dans une règle, puis filtrer ce paquet par d'autres règles par la suite?
Il n'y a pas de raison que ça ne fonctionne pas.
La page de man de pf.conf précise que les « tags » sont sticky, mais ne dit rien à propos des « queues », et je ne trouve aucun exemple utilisant cette propriété éventuelle. Pourtant ça me semblerait assez intuitif et pratique.
Ben, si c'est intuitif et pratique, il y a des chances que pf se comporte comme attendu ;)
Je voudrais écrire quelque chose comme:
<<<<<<< # Tout le trafic SSH sortant est affecté à une queue particulière pass out on $ext_if from any to any port 22 queue ssh_q
# Le filtrage fin est réalisé ici block in all pass in quick on $prv_if from $admin_host to any port 22 flags S/SA modulate state
mais je me demande si l'affectation à la queue « ssh_q » sera conservée par les règles suivantes.
Tu peux le vérifier en utilisant pfctl -vsq pour voir si l'incrémentation du compteur de paquets de la file ssh_q correspond au trafic ssh.
Tu peux aussi reprendre ton jeu de règles pour utiliser de façon intensive les tags comme présenté ici : http://openbsd.org/faq/pf/tagging.html Tu peux alors sur les règles de la section "policy enforcement" ajouter les assignations de file.
-- C'est pas pour dire, mais j'ai dû mal avoir à quel objet précis se rapportent ce forum dans les newsgroup du web. -+- JP in GNU : un peu de précision dans les newsgroup du web -+-
Jérémy JUST <jeremy_just@netcourrier.com> writes:
'Lut,
Est-il possible d'affecter un paquet à une « queue » dans une règle,
puis filtrer ce paquet par d'autres règles par la suite?
Il n'y a pas de raison que ça ne fonctionne pas.
La page de man de pf.conf précise que les « tags » sont sticky, mais
ne dit rien à propos des « queues », et je ne trouve aucun exemple
utilisant cette propriété éventuelle. Pourtant ça me semblerait assez
intuitif et pratique.
Ben, si c'est intuitif et pratique, il y a des chances que pf se
comporte comme attendu ;)
Je voudrais écrire quelque chose comme:
<<<<<<<
# Tout le trafic SSH sortant est affecté à une queue particulière
pass out on $ext_if from any to any port 22 queue ssh_q
# Le filtrage fin est réalisé ici
block in all
pass in quick on $prv_if from $admin_host
to any port 22 flags S/SA modulate state
mais je me demande si l'affectation à la queue « ssh_q » sera
conservée par les règles suivantes.
Tu peux le vérifier en utilisant pfctl -vsq pour voir si
l'incrémentation du compteur de paquets de la file ssh_q correspond au
trafic ssh.
Tu peux aussi reprendre ton jeu de règles pour utiliser de façon
intensive les tags comme présenté ici :
http://openbsd.org/faq/pf/tagging.html
Tu peux alors sur les règles de la section "policy enforcement" ajouter
les assignations de file.
--
C'est pas pour dire, mais j'ai dû mal avoir à quel objet précis se
rapportent ce forum dans les newsgroup du web.
-+- JP in GNU : un peu de précision dans les newsgroup du web -+-
Est-il possible d'affecter un paquet à une « queue » dans une règle, puis filtrer ce paquet par d'autres règles par la suite?
Il n'y a pas de raison que ça ne fonctionne pas.
La page de man de pf.conf précise que les « tags » sont sticky, mais ne dit rien à propos des « queues », et je ne trouve aucun exemple utilisant cette propriété éventuelle. Pourtant ça me semblerait assez intuitif et pratique.
Ben, si c'est intuitif et pratique, il y a des chances que pf se comporte comme attendu ;)
Je voudrais écrire quelque chose comme:
<<<<<<< # Tout le trafic SSH sortant est affecté à une queue particulière pass out on $ext_if from any to any port 22 queue ssh_q
# Le filtrage fin est réalisé ici block in all pass in quick on $prv_if from $admin_host to any port 22 flags S/SA modulate state
mais je me demande si l'affectation à la queue « ssh_q » sera conservée par les règles suivantes.
Tu peux le vérifier en utilisant pfctl -vsq pour voir si l'incrémentation du compteur de paquets de la file ssh_q correspond au trafic ssh.
Tu peux aussi reprendre ton jeu de règles pour utiliser de façon intensive les tags comme présenté ici : http://openbsd.org/faq/pf/tagging.html Tu peux alors sur les règles de la section "policy enforcement" ajouter les assignations de file.
-- C'est pas pour dire, mais j'ai dû mal avoir à quel objet précis se rapportent ce forum dans les newsgroup du web. -+- JP in GNU : un peu de précision dans les newsgroup du web -+-
Jérémy JUST
Le Thu, 09 Nov 2006 10:08:52 +0100,
Ben, si c'est intuitif et pratique, il y a des chances que pf se comporte comme attendu ;)
Mais je suis tellement habitué à ce que la doc dise tout!
Tu peux le vérifier en utilisant pfctl -vsq pour voir si l'incrémentation du compteur de paquets de la file ssh_q correspond au trafic ssh.
Je viens d'essayer, et ça marche. Donc on peut dissocier l'affectation à une queue et le filtrage effectif.
Tu peux aussi reprendre ton jeu de règles pour utiliser de façon intensive les tags comme présenté ici : http://openbsd.org/faq/pf/tagging.html
Je me sers déjà des tags pour contrôler à la fois l'interface d'entrée et l'interface de sortie de certains paquets, et comme on ne peut mettre qu'un seul tag par paquet...
Merci bien.
-- Jérémy JUST
Le Thu, 09 Nov 2006 10:08:52 +0100,
Ben, si c'est intuitif et pratique, il y a des chances que pf se
comporte comme attendu ;)
Mais je suis tellement habitué à ce que la doc dise tout!
Tu peux le vérifier en utilisant pfctl -vsq pour voir si
l'incrémentation du compteur de paquets de la file ssh_q correspond au
trafic ssh.
Je viens d'essayer, et ça marche.
Donc on peut dissocier l'affectation à une queue et le filtrage
effectif.
Tu peux aussi reprendre ton jeu de règles pour utiliser de façon
intensive les tags comme présenté ici :
http://openbsd.org/faq/pf/tagging.html
Je me sers déjà des tags pour contrôler à la fois l'interface
d'entrée et l'interface de sortie de certains paquets, et comme on ne
peut mettre qu'un seul tag par paquet...
Ben, si c'est intuitif et pratique, il y a des chances que pf se comporte comme attendu ;)
Mais je suis tellement habitué à ce que la doc dise tout!
Tu peux le vérifier en utilisant pfctl -vsq pour voir si l'incrémentation du compteur de paquets de la file ssh_q correspond au trafic ssh.
Je viens d'essayer, et ça marche. Donc on peut dissocier l'affectation à une queue et le filtrage effectif.
Tu peux aussi reprendre ton jeu de règles pour utiliser de façon intensive les tags comme présenté ici : http://openbsd.org/faq/pf/tagging.html
Je me sers déjà des tags pour contrôler à la fois l'interface d'entrée et l'interface de sortie de certains paquets, et comme on ne peut mettre qu'un seul tag par paquet...
