Aiuto su pf.conf

classic Classic list List threaded Threaded
3 messages Options
Reply | Threaded
Open this post in threaded view
|

Aiuto su pf.conf

Giuseppe Magnotta
Ciao a tutti,

ho un piccolo problemino che riguarda pf.conf.

Vengo subito al sodo, ecco il mio pf:

-------------------------------
#
# MACRO
#
ext_if = "rl0"
int_if = "rl1"
desktop = "192.168.0.2"

#
# TABELLE
#
table <rfc1918> \
        { 127.0.0.0/8, 192.168.0.0/16, 172.16.0.0/12, 10.0.0.0/8 }

#
# SCRUB
#
scrub on $ext_if random-id

#
# QUEUE
#
altq on $ext_if cbq bandwidth 256Kb queue { A, B }
 queue A bandwidth 160Kb cbq(borrow) { A0, A1 }
  queue A0 bandwidth 80% priority 0 cbq(red borrow)
  queue A1 bandwidth 20% priority 1 cbq(borrow)
 queue B bandwidth  96Kb cbq(borrow) { B0, B1 }
  queue B0 bandwidth 80% priority 6 cbq(red default borrow)
  queue B1 bandwidth 20% priority 7 cbq(borrow)

#
# TRANSLATION
#
nat on $ext_if from $int_if:network -> ($ext_if) static-port

rdr pass on $ext_if proto tcp to port 1720 -> \
        $desktop port 1720
rdr pass on $ext_if proto udp to port 5000:5016 -> \
        $desktop port 5000:*
rdr pass on $ext_if proto tcp to port 30000:30010 -> \
        $desktop port 30000:*

#
# REGOLE
#
antispoof quick for { lo0, $ext_if, $int_if } inet

block in quick on $ext_if from <rfc1918>
block out quick on $ext_if to <rfc1918>

pass out quick on $ext_if inet proto tcp from $ext_if flags S/SA \
        modulate state queue(B0, B1)
pass out quick on $ext_if inet proto { udp, icmp } from $ext_if \
        keep state queue B0
pass in quick on $ext_if inet proto tcp to ($ext_if) port \
        { ftp, ssh, 10000, > 65484 } flags S/SA keep state \
        (max-src-conn 10, max-src-conn-rate 5/1, overload <rfc1918> \
flush) queue(A0, A1)
pass in quick on $ext_if inet proto udp to ($ext_if) port 10004 keep
state (max-src-conn 10, max-src-conn-rate 5/1, overload <rfc1918> \
flush) queue A0

pass quick on { lo0, $int_if } keep state

block return
----------------------------------------------------


La prima domanda è: secondo voi è possibile migliorarlo?

La seconda è: nella regola

pass in quick on $ext_if inet proto udp to ($ext_if) port 10004 keep
state (max-src-conn 10, max-src-conn-rate 5/1, overload <rfc1918> \
flush) queue A0

pf non si lamenta riguardo a "(max-src-conn 10, max-src-conn-rate
5/1..... ecc", ma non sono in grado di stabilire se funziona. Non ho
trovato da nessuna parte una spiegazione in proposito che sia possibile
usarlo pure per le connessioni udp...

La terza è questa: ho un'adsl 256Kb in upload e 4Mb in download... Come
posso modificare pf.conf in modo che la banda sia distribuita su tutta
la LAN (compreso il server)? Ci ho provato in infiniti modi... ma con
risultati negativi.

Grazie a tutti...

Spero di non essere stato troppo invadente...


Distinti Saluti.

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

signature.asc (196 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: Aiuto su pf.conf

sand-7
Giuseppe Magnotta wrote:
[...]

> La seconda è: nella regola
>
> pass in quick on $ext_if inet proto udp to ($ext_if) port 10004 keep
> state (max-src-conn 10, max-src-conn-rate 5/1, overload <rfc1918> \
> flush) queue A0
>
> pf non si lamenta riguardo a "(max-src-conn 10, max-src-conn-rate
> 5/1..... ecc", ma non sono in grado di stabilire se funziona. Non ho
> trovato da nessuna parte una spiegazione in proposito che sia possibile
> usarlo pure per le connessioni udp...
Dalla man page "pf.conf", alla sezione "STATEFUL TRACKING OPTIONS", puoi
vedere come i limiti max-src-conn e max-src-conn-rate vengano applicati
solamente alle connessioni TCP:

---
For stateful TCP connections, limits on established connections (connec-
tions which have completed the TCP 3-way handshake) can also be enforced
per source IP.
---

Pero', come vedrai dalla man page, ci sono altri limiti che puoi impostare.

sand
--
Hi, I'm a .signature virus! Copy me to your .signature file and
help me propagate, thanks!

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Reply | Threaded
Open this post in threaded view
|

Re: Aiuto su pf.conf

fausto napolitano
In reply to this post by Giuseppe Magnotta
Ciao,

Ti segnalo questo simpatico tutorial "post FAQ", spero possa aiutarti
nei tuoi dubbi

http://www.bgnett.no/~peter/pf/en/

ciao,
fausto


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List