Всем доброго времени суток!Подскажите как заставить pf удалять состояния (states), порожденные nat-правилом после удаления этого правила?
Правило находится в анкоре. Использую комманду pfctl -a inet-users/user -Fa
Правило удаляется. Состояния остаются. Если использовать правило вроде pfctl -a inet-users/user -Fs то удаляются все состояния для всех nat-правил которые находятся в анкоре, т.е. также для inet-users/user2 inet-users/user3 и т.д.Заранее благодарю!
а можно поинтересоваться, зачем необходимо удалять состояния для определенного юзверя после удаления правила?
>а можно поинтересоваться, зачем необходимо удалять состояния для определенного юзверя после удаления
>правила?Когда правило удаляется, пользователь все еще может, к примеру сидеть в аське, или лазить по сайту какому-нибудь до тех пор пока соединение в течение некоторого времени будет неактивно, и по таймауту отключится. Т.е. пользователь все еще может пользоваться теми соеденениями, которые в данный момент активны, а новые создавать не может.
Возможно я где-то заблуждаюсь... поправьте меня если не прав.
>Когда правило удаляется, пользователь все еще может, к примеру сидеть в аське,
>или лазить по сайту какому-нибудь до тех пор пока соединение в
>течение некоторого времени будет неактивно, и по таймауту отключится. Т.е. пользователь
>все еще может пользоваться теми соеденениями, которые в данный момент активны,
>а новые создавать не может.
>
>Возможно я где-то заблуждаюсь... поправьте меня если не прав.Не знаю,что говорит теория по этому поводу, но вот когда я делал так как описано здесь
http://www.opennet.me/base/sec/authpf_howto.txt.html
то при килле на сервере процесса (ssh), который я запускал при авторизации на сервере - пропадал мой ИП-адресс в списке
pfctl -t authpf_users -Tshow
и аська тоже переставала работать.