[Uneex] PF and interface group
Yuri Ryazantsev
yuri на unix.ru
Чт Май 4 23:11:11 MSD 2006
On Thu, 4 May 2006 21:36:03 +0400 "Fr. Br. George"
<george на po.cs.msu.su> wrote:
> On Thu, May 04, 2006 at 09:05:22PM +0400, Дмитрий Головинов wrote:
> > Fr. Br. George пишет:
> > On Thu, May 04, 2006 at 06:04:16PM +0400, Yuri Ryazantsev wrote:
> > Привет!
> Ох мама. Это что у GMail нынче такой quoting style?
> > Есть такая штука - state policy.
> > Но мне непонятно, что такое "interface group". По имени или еще по
>
> > http://marc.theaimsgroup.com/?l=openbsd-misc&m=111894940807554&w=2
> > Google -> openbsd interface group -> auf gut glu:k
>
> > опеннет, нашел еще одну
> > статейку, в которой есть упоминание про эти таблицы состояний.
> > http://www.linuxcenter.ru/lib/articles/soft/openbsd_pf.phtml
> > Надеюсь, что поможет
>
> :)
>
> В самом деле, чего это я умничаю. Нехорошо.
> Содержимое
> "http://marc.theaimsgroup.com/?l=openbsd-misc&m=111894940807554&w=2"
> говорит о том, что interface group -- это такая штука, в которую можно
> добавить любой сетевой интерфейс командой
> "ifconfig интерфейс group группа"
> а удалить -- командой
> "ifconfig интерфейс -group группа"
>
> По отсутствию слова group в man ifconfig FreeBSD 5.5 и 7.0-CURRENT от Tue
> Feb 21 заключаю, что штука эта из OpenBSD ещё не втянута в FreeBSD.
> В OpenBSD 3.9 есть наверняка, проверить негде.
Вот и у меня нет опена. А по исходникам 6.хх проверил - нет там такой
функции. Причем в исходниках pf там есть отдельные места по
проверке принадлежности к группе интерфейсов, но я не нашел как их
определять. Причем самое забавное, что проверка касается не только
принадлежности к группе самого интерфейса, но и его родителя (что может
оказаться черезвычайно полезно для VLAN интерфейсов).
Может у кого-то найдется OpenBSD и поставит эксперимент по объединению
VLAN'ов в две разные группы (но на одной сетевой карте) и ответит, что
все у него работает со state policy group-bound.
Вообще-то с pf обнаружил еще одну особенность, также полезную, но не
реализованную во FreeBSD (насчет 7 не знаю, но в 6 нет):
>From man pf.conf:
Addresses can be specified in CIDR notation (matching netblocks), as
symbolic host names or interface names, or as any of the follow- ing
keywords:
route <label> Any address whose associated route has label
<label>. See route(4) and route(8).
--
Yuri Ryazantsev <yuri на unix.ru> | RIPE: YR1-RIPE
UNIX System Network Administrator | RIPN: YAR1-RIPN
Gnu PGP: 1024D/D91BA14E
Подробная информация о списке рассылки Uneex