Software, Support, Documentation
|
|
News,
Internal,
Projects,
Home Software, Support, Documentation |
On Mon, Jul 25, 2005 at 03:02:22PM +0900, mattabu wrote: > > 안녕하세요, pf 에 대해서 물어볼 것이 있습니다. > > pf 메뉴얼에 보면 다음과 같이 quick 에 대한 설명을 하고 있는데요. > ------------------------------------------------------------- > Wrong: > > block in on fxp0 proto tcp from any to any port ssh > pass in all > > Better: > > block in quick on fxp0 proto tcp from any to any port ssh > pass in all > ------------------------------------------------------------- > quick 을 넣어야 밑에 있는 pass in all 까지 가지 않고 block 이 된다고 합니다. > 왜 quick 을 넣지 않는다고 해서 block 정책에 의해서 block 된 패킷이 밑에 있는 pass 정책까지 가는것인지 이해가 안되구요. > 그렇다면 block rule 에는 대부분 quick 을 넣어야만 하는 것 같은데요. > quick 에 대해서 정확하게 이해가 가지 않습니다. > > 추가적으로 보통... defualt drop rule 을 파일의 맨위쪽에 drop all 과 같이 넣어주는데요. > 이런식으로 하면 모든 패킷이 drop 되는 것이 아닌가요??? ^^; > pf도 위에서 아래로 순차적으로 rule 이 적용이 된다고 하던데요. > > quick 이 정확히 이해가 안됩니다. ^^; pf/ipfilter는 모두 "last match"방식입니다. 즉 가장 마지막에 match된것의 rule을 따르게 됩니다. 따라서 만일 "block in all"로 시작했다면 모두 block되는걸로 match된 후 이후의 rule에 따라서 packet의 운명이 결정됩니다. 만일 이후에 match되는게 없었다면 가장 처음에 match된것, block으로 결정되고 이후에 match된것이 있다면 그 rule에 따르게 됩니다. 이와달리 ipfw는 "first match"방식입니다. 룰이 아무리 많이 있더라도 일단 match가 되면 이후의 룰은 검사하지 않습니다(count나 skipto같은것은 예외입니다). pf나 ipfilter에서 이런 "first match"방식의 것을 사용하려면 "quick"이라는 key word가 필요합니다. ipfw의 first match방식에 익숙하다면 pf/ipfilter룰에 모두 "quick" keywoord를 추가하면 ipfw와 동일한 효과를 낼 수 있습니다. 하지만 다시 한번 더 생각해보세요. block in all로 설정후 match된 것만 pass하는 방식이 실수할 확률을 줄일 수 있습니다. > 설명 부탁드리겠습니다. > -- Regards, Pyun YongHyeon _______________________________________________ 한국 FreeBSD 사용자 그룹(KFUG) questions 메일링 리스트 questions at kr.FreeBSD.org http://www.kr.FreeBSD.org/mailman/listinfo/questions
|
Copyright © 1998-2005 Korea FreeBSD Users Group. All rights reserved. webmaster at kr.FreeBSD.org $Date: 2005/07/27 10:24:04 $ |
|