Sziasztok!<div><br></div><div>Tegnap frissitettem a rendszerem 7.2-rol 7.3-ra, ipfilter hasznaltam rajta. Bootolas utan nem tudtam elerni a gepem netrol, majd helyi konzolrol azt lattam, hogy az osszes csomag az ipmon listajaban bad-re vegzodik. Sehol nem talaltam leirast a tortenesrol, konkretan a bad jelenteserol sem a log-ban. A 7.3-ban annyi valtozas tortent, hogy az fxp drivert frissitettek, de semmi info, hogy ilyen tortenhet az ipfilter-rel. Ha a 7.2-es kernel.old-ot inditottam, akkor ment minden rendben, tehat a kernel es az ipfilter szabalyok kozt van valami difi, amit az uj meghajto hozott be. Ha a 7.3-as kernelt inditottam es kiadtam egy 'ipf -FaS' parancsot, tehát kitoroltem minden ipfilter szabalyt, akkor ment.</div>
<div><br></div><div>Vegul az egesz tuzfalat atirtam pf-re, rovidebb es elegansabb lett, ugyhogy most megy rendben 7.3-mal es pf-fel a gep, inkabb csak a kivancsisag vezerel, hogy mas is talalkozott-e ezzel a jelenseggel es talalt-e valami megoldast ra.</div>
<div><br></div><div>Az ipfilter-bol reszlet:</div><div><br></div><div><div>##### output (lo0)</div><div>pass  out     quick on lo0  all</div><div>##### input (lo0)</div><div>pass  in      quick on lo0  all</div><div>##### output (fxp0)</div>
<div>pass  out     quick on fxp0 proto tcp     from any to any keep state</div><div>pass  out     quick on fxp0 proto udp     from any to any keep state keep frags</div><div>pass  out     quick on fxp0 proto icmp    from any to any keep state</div>
<div>##### input (fxp0)</div><div>#### default block strategy</div><div>block return-rst in log on fxp0 proto tcp from any to any</div><div>block return-icmp-as-dest(port-unr) in log on fxp0 proto udp from any to any</div>
<div>block in  log       on fxp0 proto icmp    all</div><div>#### block crap</div><div>block in      quick on fxp0 proto tcp     all with short</div><div>block in      quick on fxp0               all with ipopts frag</div>
<div>block in      quick on fxp0               from <a href="http://127.0.0.0/8">127.0.0.0/8</a> to any</div><div>block in      quick on fxp0               from <a href="http://10.0.0.0/8">10.0.0.0/8</a> to any</div><div>
block in      quick on fxp0               from <a href="http://172.16.0.0/12">172.16.0.0/12</a> to any</div><div>block in      quick on fxp0               from <a href="http://192.168.0.0/16">192.168.0.0/16</a> to any</div>
<div>block in      quick on fxp0               from <a href="http://169.254.0.0/16">169.254.0.0/16</a> to any</div><div>block in      quick on fxp0               from <a href="http://224.0.0.0/4">224.0.0.0/4</a> to any</div>
<div>block in      quick on fxp0               from <a href="http://240.0.0.0/4">240.0.0.0/4</a> to any</div></div><div>#### ssh</div><div><div>pass  in      quick on fxp0 proto tcp     from any to any port =  ssh flags S/SA keep state</div>
</div><div><br></div><div>Hibasor:</div><div><div>31/03/2010 16:20:25.612122 fxp0 @0:18 b x,x -> x,x PR tcp len 20 52 -S IN bad</div><div>31/03/2010 16:20:28.617721 fxp0 @0:19 b x,x -> x,x PR udp len 20 90 IN bad</div>
</div><div><div>31/03/2010 16:21:14.558830 fxp0 @0:2 b x,x -> x,x PR tcp len 20 48 -S IN bad</div></div><div><br></div><div>Hibat vagy az alap block-ra ad (@2), vagy a megfelelo szabalyra (@18, @19).</div><div><br></div>
<div>Az ipfilter szabalyait kritizalni nyugodtan lehet, hogy mennyire g33k, de most nem errol van szo, hanem, hogy 7.2 alatt ment es 7.3 alatt nem megy. ;-)</div><div><br></div><div>Zsolt</div>