Buenas, A primeira dúvida tá parecendo tabela de estado.
talvez se você tentar limpar a tabela com o comando: pfctl -Fs Em relação a segunda dúvida, para o uso de reply-to/route-to você não precisa usar a tabela FIB, o próprio pf faz o roteamento. no caso ai, eu não sei se já tem ou não nas suas regras, mas você precisa especificar a saida dos links, tipo: pass out quick on $if_link1 route-to ($if_link1 $gw_link1) from any to $if_link2 pass out quick on $if_link2 route-to ($if_link2 $gw_link2) from any to $if_link1 *** Eu fiz de cabeça, não sei se é exatamente assim, mas é mais para entendimento (to sem tempo aqui pra pegar cola). abços Em Qua, 2011-12-07 às 15:31 -0200, Diogo Dalfovo escreveu: > Boa Tarde Pessoal!! > > > Estou refazendo o meu PF e surgiram algumas duvidas em relação ao bloqueio > e liberação, vamos la: > > tenho como padrao bloquear tudo que entra: > #set block-policy drop > set block-policy return > > #bloqueia tudo por padrao > block in log all > > e depois eu libero o icmp por exemplo > #teste > pass in log quick on $int_if proto icmp from $lan_net to $ip_firewall > > ele vai pingar sem problemas, agora quando eu comento essa regra do icmp ou > coloco block no lugar do pass e do um pfctl -f /etc/pf.conf no > monitoramento do pftop ele "desaparece" mas continua o ping > agora se eu depois de comentar a regra eu desabilitar e reabilitar o PF o > bloqueio funciona. Pergunta: > Existe alguma forma de fazer essa liberaçao e bloqueio sem que seja > necessario parar e iniciar o PF? apenas usando o pfctl? > > Eu imagino o seguinte, estou recebendo um brute-force por exemplo se eu > bloquear esse IP que ja tem uma sessao aberta no meu firewall so vou ter > resultado se eu desabilitar e habilitar o PF? > > > > Segunda duvida. > Estava lendo sobre o reply-to, configurei a tabela FIB para eu ter dois > gateways OI/BRT e Embratel preciso que tudo que venha por um link volte > pelo mesmo link ai que entra a duvida. Faço isso na regra de entrada da > interface com o reply-to ou existe outra forma? > > #Link OI/BRT > pass in log on $ext_if1 reply-to ($ext_if1 ($ext_if1)) inet proto tcp \ > from any to any port { ssh } \ > (max-src-conn 10, max-src-conn-rate 5/3, \ > overload <bruteforce> flush global) > > #Link Embratel > pass in log on $ext_if2 reply-to ($ext_if2 ($ext_if2)) inet proto tcp \ > from any to any port { ssh } \ > (max-src-conn 10, max-src-conn-rate 5/3, \ > overload <bruteforce> flush global) > > > Diogo Dalfovo > ------------------------- > Histórico: http://www.fug.com.br/historico/html/freebsd/ > Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd -- Luiz Gustavo Costa (Powered by BSD) *+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+*+ mundoUnix - Consultoria em Software Livre http://www.mundounix.com.br ICQ: 2890831 / MSN: cont...@mundounix.com.br Tel: 55 (21) 4063-7110 / 8194-1905 / (11) 4063-0407 Blog: http://www.luizgustavo.pro.br ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd