Re: [openbsd-france-misc] "rdr pass on" et "rdr on"

[Saad Kadhi <saad AT docisland POINT org>]

On Wed, Nov 10, 2004 at 10:56:34AM +0100, Serge Basterot wrote:
> Voilà une question que je me pose au sujet des redirections. La
> directive pass sur une rdr permet d'automatiser le passage des paquets
> en se passant de règles "pass" supplémentaires, d'après ce que j'ai
> compris. Je voudrais savoir dans quel cas est-il préférable d'utiliser
> la directive pass sur une rdr, ou le contraire.
> 
> La réponse que je me donne (j'essaye de réfléchir un peu tout de même
> :)) est que ne pas utiiser cette directive dans une rdr permet
> d'affiner au mieux les pass in / pass out avec les statefull. Au
> contraire la directive pass dans une rdr serait un forçage un peu
> brutal et une ouverture trop nette dans le fw.
> 
> Est-ce que j'analyse bien le problème ou je suis à côté de la plaque ?
l'utilisation du "pass" dans les règles de nat/rdr ne semble
effectivement pas bien documenté. IMHO, un "rdr pass" équivaudrait à un
"rdr" suivi immédiatement d'un "pass (in|out) quick ... keep state", si
c'est le cas, il n'y a donc pas de possibilité de vérifier les drapeaux
TCP ou d'utiliser du modulate/synproxy.

je vais voir avec joel, daniel et nick comment on peut expliquer ça
"facilement" dans le PF Guide. en tout cas, merci pour ta remarque.
-- 
cheers
- saad.