Boot di PFSense

Francesco

Salve a tutti.
Ho una piccola questione da porvi: ho notato che PFSENSE in fase di boot attiva dapprima le interfacce di rete e poi le policy del firewall.
Io ho sempre saputo che nel boot di un firewall, le "best pratices" sostengono che sia meglio abilitare prima le policy e poi le interfacce, in modo tale che nessun pacchetto possa arrivare sulle interfacce con le policy non attive.

A conferma di quanto ho affermato inizialmente, in fase di boot, ho provato a pingare il firewall (con policy che impediscono di pingarlo). Ebbene, al momento dell'attivazione dell'interfacce, risponde al ping (3 - 4 pacchetti), poi subito dopo al momento dell'attivazione delle policy non risponde più.
E' vero che la finestra temporale che intercorre fra i due eventi è minima, ma a mio modesto parere tale funzionamento non è proprio corretto.
Volevo il parere di qualcuno che come me ha notato tale sequenza. Vorrei sapere cosa ne pensi al riguardo.

Forse sfugge qualcosa a me?

Grazie a tutti

Francesco

fabio.vigano

Ciao,
non vorrei dire una cavolata ma finchè le regole non sono state caricate dovrebbe vigere la regola che tutto il traffico è negato quindi dovrebbe essere più restrittivo rispetto alle regole applicate in seguito. Detto questo non ho mai approfondito cosa accade in fase di boot ma ora mi hai incuriosito e voglio fare qualche prova.
Ciao Fabio

Francesco

Ciao Fabio,
  ma se fosse come dici tu il ping non dovrebbe andare a buon fine, contrariamente a quanto avviene.
Proprio per questo ho fatto la prova del ping!

Francesco

fabio.vigano

Ciao,
finalmente ho avuto tempo di fare un test con una macchina lenta e devo dire che quel che hai scoperto è vero. Sostanzialmente una qualsiasi interfaccia risulta accessibile da quando viene configurata fino a quando viene configurato il firewall.
Sostanzialmente guardando le info stampate  video durante l'avvio le interfacce rimangono raggiungibili senza alcuna protezione da "Configuring WAN…" fino a "Configuring firewall..."

Ecco un estratto dei messaggi d'avvio
Configuring WAN interface...done.
Configuring LAN interface...done.
Syncing OpenVPN settings...done.
Configuring firewall......done.

Su sistemi molto veloci questa cosa non si nota perchè tra questi eventi passa una frazione di secondo ma su sistemi poco poco performanti le interfacce risultano pingabili per qualche secondo.

Tecnicamente mi viene da pensare che il fattto che vengano tirate su prima le interfacce e poi il firewall non fa una piega quindi se pur esiste un comportamento "sgradevole" non si può fare altrimenti. In ogni caso proverò a chiedere agli sviluppatori.

Ciao Fabio

Francesco

Ciao Fabio,
  anch'io nel frattempo ho fatto qualche esperimento.
Ho modificato il file rc.bootup anticipando l'avvio del firewall all'avvio delle interfacce. Il fenomeno in questione sparisce, e sembra tutto funzionare correttamente.
Uso il termine sembra, perchè non so se cio' puo' avere qualche conseguenza non subito visibile. Non so infatti se gli sviluppatori di PFSense abbiano volutamente dar precedenza all'avvio delle interfacce.

Comunque, appena riceverai una risposta da loro, facci sapere.

Grazie

Francesco

Air Force One

@Francesco:

Ho modificato il file rc.bootup anticipando l'avvio del firewall all'avvio delle interfacce. Il fenomeno in questione sparisce, e sembra tutto funzionare correttamente.

Mi piace la tua soluzione, come posso ci provo pure io.