Добрый день, решил поюзать PF на фре 5.4. Имею один каверзный вопрос - какой такой смысл есть у концепции "last matching rule win" при прохождении пакета по правилам фаера?

Я вот этого никак не могу понять (в доках явно не указано, да и в примерах фичу не используют). Из-за этого использую все правила с приставкой "quick", что судя по всему не есть правильно.

Кто знает секрет - отпишите плз.

• pf - last matching rule win,Moralez, 12:26 , 17-Авг-05
• pf - last matching rule win,Xela, 11:47 , 02-Сен-05
  • pf - last matching rule win,Moralez, 13:26 , 10-Сен-05
    • pf - last matching rule win,Ldar, 08:51 , 12-Сен-05
      • pf - last matching rule win,Adept, 04:46 , 19-Сен-05
      • pf - last matching rule win,Moralez, 14:31 , 23-Сен-05
• pf - last matching rule win,мелкая пакость, 14:55 , 26-Сен-05
  • pf - last matching rule win,rory, 17:51 , 14-Окт-05

Месяц назад задавал этот вопрос - ни единого ответа. :)

>Добрый день, решил поюзать PF на фре 5.4. Имею один каверзный вопрос
>- какой такой смысл есть у концепции "last matching rule win"
>при прохождении пакета по правилам фаера?
>
>Я вот этого никак не могу понять (в доках явно не указано,
>да и в примерах фичу не используют). Из-за этого использую все
>правила с приставкой "quick", что судя по всему не есть правильно.
>
>
>Кто знает секрет - отпишите плз.

эээ...

block on $ext_if all
pass on $ext_if from x.x.x.x to y.y.y.y keep state

так понятно?

а после использования quick промотр правил дальше не пойдет.

и чем это кошернее

pass  quick  on $ext_if from x.x.x.x to y.y.y.y keep state
block quick  on $ext_if all

?

>и чем это кошернее
>
>pass  quick  on $ext_if from x.x.x.x to y.y.y.y keep state
>
>block quick  on $ext_if all
>
>?

в чем смысл слова quick в последней строчке ?
а если у вас дальше будут написаны правила, то они вообще не будут просматриваться ;-)

Вся фиха в том, что пакет проходит по всем правилам фильтра, даже если было обнаружено правило под которое пакет подпадает :)

Ldar, вы явно не пробовали настраивать с использованием quick. Это абсолютно тот же принцип, что у всех остальных fw - ipfw,линуховый packetfilter итд.

Соответственно, смысл есть. А вот смысла в отсутствии quick до сих пор не видать..... :(

>Добрый день, решил поюзать PF на фре 5.4. Имею один каверзный вопрос
>- какой такой смысл есть у концепции "last matching rule win"
>при прохождении пакета по правилам фаера?
>
>Я вот этого никак не могу понять (в доках явно не указано,
>да и в примерах фичу не используют). Из-за этого использую все
>правила с приставкой "quick", что судя по всему не есть правильно.
>
>
>Кто знает секрет - отпишите плз.

собсно в вопросе и есть ответ - к пакету применяется последнее правило которому пакет соответсвует.
block log all
pass in from $blah to ($ext_if) keep state
имхо получается просто и удобно и понятно))
правила quick полезны например чтоб не грузить ось обработкой большого кол-ва пакетов которые надо блокировать
block quick from ($int_if) to ($ext_if) port { 137, 139, 445 }
чтоб не распространять по инету виндосовские вирусы

возьмите в привычку: первым правилом писать block log all, а далее разрешать всё что надо _явно_ с указанием keep state (оно меньше ресурсов кушает, ибо пакеты установленного соединения не проходят по цепочке правил)
правила quick имхо применяются не часто - поправьте кто-нибудь если неправ, жто моя привычка такая))

>возьмите в привычку: первым правилом писать block log all, а далее разрешать
>всё что надо _явно_ с указанием keep state (оно меньше ресурсов
>кушает, ибо пакеты установленного соединения не проходят по цепочке правил)
>правила quick имхо применяются не часто - поправьте кто-нибудь если неправ, жто
>моя привычка такая))

а что подобное есть для ipfw?