Re: [BSD] pf tabla modositasa on-the-fly2

[Tátrai József]

Na, nem akarok megint abba a hibab esni, mint amultkor az ipfw kapcsan, de
nem ertek valamit.

<...>
> a pf szabalyok potencialis valtoztathatosaga messze nem csak azert lehet
> rizikos
<...>

Kerdesem: nem ugy van - es pont ez a lenyege - hogy a tabla muveletek nem
jelentenek uj szabalyt?? A pf.conf manja is azt emliti, hogy "making a
single rule with tables much more efficient", mint ugyanazt 500 kulon
szabalyban kifejtve, aminel csak pl. a source IP cim mas. Es pont ezer
gyorsabb  a tablak feldolgozasa, mert nem szekvencialis szabalyokon kl
vegigmenni, hanem egy fa strukturat kell bejarni, mert ilyenben taroljak a
tablakban az adatokat (most nem emlekszem pontosan, hogy milyen fa volt,
talan B-fa, de nem biztos, most ne is erdekes.) Es ha a
"pfctl -t bad -T show" parancsot nezem, az sem mutat a tabla elemeitol
fuggo darab szabalyt (ellentetben mondjuk az antipoof-fal, vagy IPv6
lekezelesevel), hanem csak egyet.

Tehat ujra kerdem, es azer tkerdezem, mer nmem tudom/ertem, mikent
jelentenek uj szabalyt a tabla muveletek lekezelesei?

Abban Szilveszternek teljesen igaza van,hogy vagy tuzfal es securelevel,
es nem lehet sokmindent csinalni, vagy pedig nem, de nem jok az atlatszo
dolgok. A gond csak az, hogy en ugy erzem, hogy ennek effektive nincs koze
_uj_ SZABALY felallitasahoz, de ezt en a mukodes es a doksi alapjan
mondom, forraskodot nem turtam at erte, ugyhogy orommel veszek minden jobb
magyaraztot!

eFeS