АШ
Есть два интерфейса WAN. Нужно, чтобы ответы уходили на тот интерфейс, на который пришёл пакет.
Size: a a a
2021 June 06
АШ
Рядом на FreeBSD работает подобная конструкцию. Но там в reply-to ещё задаётся и название интерфейса. Насколько я понимаю, в OpenBSD 6.8 тоже было такое же поведение.
АЗ
В OpenBSD есть sticky-address для "липких ответов"
@
quick , предполагаю, задуман для скорости, соответственно названию, чтобы не мурыжить пакет , разбирая всю портянку. Если нагрузки нет, то и quick не нужен.
АЗ
Есть ещё важный момент.. reply-to опирается на таблицу состояний и формируют ли правила состояния будет понятно по выводу
cat -nvvf /etc/pf.conf
где на всех pass должно быть приписано "keep state"
cat -nvvf /etc/pf.conf
где на всех pass должно быть приписано "keep state"
АШ
pass in quick on re0 inet proto tcp from any to any port = 22 flags S/SA keep state (pflow) reply-to 192.168.1.1
АЗ
Не совсем так. OpenBSD ориентирована на безопасность. А безопасность это отсутствие ошибок. Отсутствие ошибок должно быть вследствие высокой читаемости и прозрачности правил, их стилистики. Машина прочитав правила сама ужимает их в рабочий вид, а то, что содержится в pf.conf должно быть минималистично и предельно человекопонятно
@
Понятно. Спасибо.
АЗ
Есть ещё один момент почему нет смысла дрочить pf.conf так, чтобы обработка пакета обрывалась предельно быстро.. это таблица состояний. После формирования таблицы обработка пакетов идёт именно по ней, а не по правилам в их хронологическом порядке
АЗ
В теории это имеет смысл при умышленной stateless фильтрации, но к чему она нужна это хз
АЗ
Кто до такого дошёл тот знает для чего ему это надо
АЗ
Для всех остальных stateless лучше не строить
@
Если можно , скиньте пжл ссылку на оригинальный текст про таблицу состояний
АЗ
Оригинальный текст в переводе выглядел как "вам не нужно писать отдельно in/out правила, когда вы пишите pass с keep state".. это где-то в книгах Питера Ханстина
АЗ
Можно погуглить про Stateful Packet Inspection
АЗ
И в частности как это работает в PF
@
Хорошо
АШ
Настроил reply-to
У меня в set skip on был указан интерфейс, на который идёт трафик по умолчанию.
У меня в set skip on был указан интерфейс, на который идёт трафик по умолчанию.
АЗ
Ну вот
АЗ
Рад, что нашлась ошибка