[PF/OpenBSD] "queue" est-il sticky?

08/11/2006, 20h15

Bonsoir,

Est-il possible d'affecter un paquet à une « queue » dans une règle,
puis filtrer ce paquet par d'autres règles par la suite?
La page de man de pf.conf précise que les « tags » sont sticky, mais
ne dit rien à propos des « queues », et je ne trouve aucun exemple
utilisant cette propriété éventuelle. Pourtant ça me semblerait assez
intuitif et pratique.

Je voudrais écrire quelque chose comme:

<<<<<<<
# Tout le trafic SSH sortant est affecté à une queue particulière
pass out on $ext_if from any to any port 22 queue ssh_q

# Le filtrage fin est réalisé ici
block in all
pass in quick on $prv_if from $admin_host \
to any port 22 flags S/SA modulate state
>>>>>>>

mais je me demande si l'affectation à la queue « ssh_q » sera
conservée par les règles suivantes.

Merci d'avance.

--
Jérémy JUST <jeremy_just@netcourrier.com>

09/11/2006, 09h08

Jérémy JUST <jeremy_just@netcourrier.com> writes:

'Lut,

> Est-il possible d'affecter un paquet à une « queue » dans une règle,
> puis filtrer ce paquet par d'autres règles par la suite?

Il n'y a pas de raison que ça ne fonctionne pas.

> La page de man de pf.conf précise que les « tags » sont sticky, mais
> ne dit rien à propos des « queues », et je ne trouve aucun exemple
> utilisant cette propriété éventuelle. Pourtant ça me semblerait assez
> intuitif et pratique.

Ben, si c'est intuitif et pratique, il y a des chances que pf se
comporte comme attendu

> Je voudrais écrire quelque chose comme:
>
> <<<<<<<
> # Tout le trafic SSH sortant est affecté à une queue particulière
> pass out on $ext_if from any to any port 22 queue ssh_q
>
> # Le filtrage fin est réalisé ici
> block in all
> pass in quick on $prv_if from $admin_host \
> to any port 22 flags S/SA modulate state
>>>>>>>>
>
> mais je me demande si l'affectation à la queue « ssh_q » sera
> conservée par les règles suivantes.

Tu peux le vérifier en utilisant pfctl -vsq pour voir si
l'incrémentation du compteur de paquets de la file ssh_q correspond au
trafic ssh.

Tu peux aussi reprendre ton jeu de règles pour utiliser de façon
intensive les tags comme présenté ici :
http://openbsd.org/faq/pf/tagging.html
Tu peux alors sur les règles de la section "policy enforcement" ajouter
les assignations de file.

--
C'est pas pour dire, mais j'ai dû mal avoir à quel objet précis se
rapportent ce forum dans les newsgroup du web.
-+- JP in GNU : un peu de précision dans les newsgroup du web -+-

15/11/2006, 15h20

Le Thu, 09 Nov 2006 10:08:52 +0100,
Eric Masson <emss@free.fr> a écrit :

> Ben, si c'est intuitif et pratique, il y a des chances que pf se
> comporte comme attendu

Mais je suis tellement habitué à ce que la doc dise tout!

> Tu peux le vérifier en utilisant pfctl -vsq pour voir si
> l'incrémentation du compteur de paquets de la file ssh_q correspond au
> trafic ssh.

Je viens d'essayer, et ça marche.
Donc on peut dissocier l'affectation à une queue et le filtrage
effectif.

> Tu peux aussi reprendre ton jeu de règles pour utiliser de façon
> intensive les tags comme présenté ici :
> http://openbsd.org/faq/pf/tagging.html

Je me sers déjà des tags pour contrôler à la fois l'interface
d'entrée et l'interface de sortie de certains paquets, et comme on ne
peut mettre qu'un seul tag par paquet...

Merci bien.

--
Jérémy JUST <jeremy_just@netcourrier.com>

08/11/2006, 20h15	#1
Jérémy JUST Messages: n/a Hébergeur:	[PF/OpenBSD] "queue" est-il sticky? Bonsoir, Est-il possible d'affecter un paquet à une « queue » dans une règle, puis filtrer ce paquet par d'autres règles par la suite? La page de man de pf.conf précise que les « tags » sont sticky, mais ne dit rien à propos des « queues », et je ne trouve aucun exemple utilisant cette propriété éventuelle. Pourtant ça me semblerait assez intuitif et pratique. Je voudrais écrire quelque chose comme: <<<<<<< # Tout le trafic SSH sortant est affecté à une queue particulière pass out on $ext_if from any to any port 22 queue ssh_q # Le filtrage fin est réalisé ici block in all pass in quick on $prv_if from $admin_host \ to any port 22 flags S/SA modulate state >>>>>>> mais je me demande si l'affectation à la queue « ssh_q » sera conservée par les règles suivantes. Merci d'avance. -- Jérémy JUST <jeremy_just@netcourrier.com>

09/11/2006, 09h08	#2
Eric Masson Messages: n/a Hébergeur:	Re: [PF/OpenBSD] "queue" est-il sticky? Jérémy JUST <jeremy_just@netcourrier.com> writes: 'Lut, > Est-il possible d'affecter un paquet à une « queue » dans une règle, > puis filtrer ce paquet par d'autres règles par la suite? Il n'y a pas de raison que ça ne fonctionne pas. > La page de man de pf.conf précise que les « tags » sont sticky, mais > ne dit rien à propos des « queues », et je ne trouve aucun exemple > utilisant cette propriété éventuelle. Pourtant ça me semblerait assez > intuitif et pratique. Ben, si c'est intuitif et pratique, il y a des chances que pf se comporte comme attendu > Je voudrais écrire quelque chose comme: > > <<<<<<< > # Tout le trafic SSH sortant est affecté à une queue particulière > pass out on $ext_if from any to any port 22 queue ssh_q > > # Le filtrage fin est réalisé ici > block in all > pass in quick on $prv_if from $admin_host \ > to any port 22 flags S/SA modulate state >>>>>>>> > > mais je me demande si l'affectation à la queue « ssh_q » sera > conservée par les règles suivantes. Tu peux le vérifier en utilisant pfctl -vsq pour voir si l'incrémentation du compteur de paquets de la file ssh_q correspond au trafic ssh. Tu peux aussi reprendre ton jeu de règles pour utiliser de façon intensive les tags comme présenté ici : http://openbsd.org/faq/pf/tagging.html Tu peux alors sur les règles de la section "policy enforcement" ajouter les assignations de file. -- C'est pas pour dire, mais j'ai dû mal avoir à quel objet précis se rapportent ce forum dans les newsgroup du web. -+- JP in GNU : un peu de précision dans les newsgroup du web -+-

15/11/2006, 15h20	#3
Jérémy JUST Messages: n/a Hébergeur:	Re: [PF/OpenBSD] "queue" est-il sticky? Le Thu, 09 Nov 2006 10:08:52 +0100, Eric Masson <emss@free.fr> a écrit : > Ben, si c'est intuitif et pratique, il y a des chances que pf se > comporte comme attendu Mais je suis tellement habitué à ce que la doc dise tout! > Tu peux le vérifier en utilisant pfctl -vsq pour voir si > l'incrémentation du compteur de paquets de la file ssh_q correspond au > trafic ssh. Je viens d'essayer, et ça marche. Donc on peut dissocier l'affectation à une queue et le filtrage effectif. > Tu peux aussi reprendre ton jeu de règles pour utiliser de façon > intensive les tags comme présenté ici : > http://openbsd.org/faq/pf/tagging.html Je me sers déjà des tags pour contrôler à la fois l'interface d'entrée et l'interface de sortie de certains paquets, et comme on ne peut mettre qu'un seul tag par paquet... Merci bien. -- Jérémy JUST <jeremy_just@netcourrier.com>

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email