[BSD] ng0 letrehozasa a pf indulasa elott

[Váczi Pál]

szia,

Adam Szilveszter <adam at nhh.hu> írta:
> > most viszont hamarabb indul a pf mint az mpd, es igy syntax error-
osnak 
> > latja a ruleset-et, amit igy nem is tolt be.
> Hm. Anno nekem pl az ipfw problema nelkul toltotte a tun0-ra 
hivatkozo 
> szabalyokat meg az elott, hogy a ppp futott volna. Igaz, lehet, hogy 
ott 
> mivel a driver bent volt mar a kernelben es devfs volt mar, eleg volt 
> megprobalni olvasni a tun0-t es rogton letrejott, mig az ng0 nem 
ilyen 
> esetleg...

maskepp allnak a szabalyokhoz a pf es az ipfw. az ipfw elfogadja mint 
stringet, es kesobb ertekeli csak ki, a pf meg nekiall betolteskor 
optimalizalni a szabalyokon, es igy neki mar ott kell a meglete az 
interface-nek.

> > kesobb ez megoldodik, mert az mpd linkup-ban betoltom ujra a 
szabalyokat 
> > (lehet, hogy ma mar nem kellene, de regebben a pf nem vette 
eszre, ha 
> > valtozott a kulso cim (pl. mert megszakadt a vonal, es 
ujratarcsazott az 
> > mpd) es eddig igy oldottam meg a dolgot, ami most eppen kapora 
jott).
> > viszont hiaba mukodik, azert zavar ez a megoldas tobb okbol is:
> 
> > -1, ha valamiert nem jon ossze az mpd-nek a kapcsolodas, nem 
megy a 
> > tobbi szabaly se, igy egy a belso halon esetleg gazos gep ellen 
nem vedi 
> > semmi. meg persze a nat se megy ilyenkor, de sok dolga ugyse 
lenne :-)
> 
> 
> 
> > -2, gondolom nem igazan nagy a veszely, de igy akad egy kis 
vedelem 
> > nelkul eltelt ido a kapcsolodas es a pf szabalyok aktivizalodasa 
kozott
> > 
> > szoval a kerdesem, hogy hogy tudom letrehozni az ng0 interfeszt 
meg a pf 
> > indulasa elott? gondolom valahogy az ngctl-el kellene kavarni, de 
nem 
> > tudom, hogy hogyan...
> 
> Hat en a helyedben az mpd startup scriptjet neznem meg, onnan 
szerintem 
> kiderulhet, ha tenyleg ngctl-t hasznal. Azt is kiprobalnam, hogy 
tenyleg 
> tutira nem eleg-e neki a "cat /dev/ng0" parancs... a netgraph 
modulban 
> van nalad, vagy a kernelben? Ha modulban, kiprobalnam a kernelbe 
> forditast...

kernelben van. neztem a startup scriptet, csak az mpd-t hivja, az meg 
binaris. a cat-ot majd kiprobalom este, de nem sok remenyt fuzok 
hozza, mivel igy nem tudnak a megfelelo netgraph nodok letrejonni 
(mivel nem is tudhatja, hogy milyen nodokat akarok majd hasznalni).

> > masik megoldaskent hasznalhatnek tobb szabalykeszletet, igy csak 
a az 
> > ng0-ra vonatkozo reszt toltene be az mpd linkup scriptje, az alap 
> > szabalyok meg mennenek az elejen.
> 
> Igen ennek is mennie kellene.
> 
>   ez viszont nem igazan tetszene, mert a
> > 2. pontot nem oldana meg, es nem lenne olyan szepen egyben, 
> > attekinthetoen a pf.conf-om.
> 
> Jo, de ha jol ertem, a regi megoldasod amikor a pf modulban volt 
> ugyanezert volt gazos... ott is megvolt ez a res.

igen, erre mar rajottem, de attol meg nem nyugtat meg, hogy ha eddig 
se volt tuti, akkor jo lesz igy ezutan is.

meg eszembejutott az a megoldas is, hogy a pf rc.d-ben levo 
scriptjenek megmondom, hogy varja ki az mpd-t (mintha lehetne ilyen 
dependenciket megadni, bar az egyik base, a masik meg local...), de ez 
se az igazi. ugyanugy ott a security res, raadasul bele kellene barmolni 
a standard scriptekbe, amit nem tartok szep megoldasnak.
szoval tovabbra is azt latom udvozitonek, hogy valahogy letrehozni a 
netgraph-al az ng0-t. senki nem ert hozza? (persze en is beleashatom 
magam, csak idohiany miatt inkabb megkerdeztem, hatha valaki csinalt 
mar ilyet).

udv,
pali