gertvdijk's questions

Eu gostaria de configurar uma regra simples de encaminhamento (não encaminhamento de porta!) no FreeBSD 12.3 que filtra com base na interface de recepção e na interface de saída. As redes IP não devem fazer parte da regra, pois funciona como um roteador para todos os tipos de IPs. As redes roteadas serão definidas dinamicamente por um daemon de roteamento (BIRD com OSPF).

No FreeBSD usando PF eu só posso definir uma ifspecregra por filtro ( [ "on" ifspec ]) conforme man 5 pf.conf :

     pf-rule        = action [ ( "in" | "out" ) ]
              [ "log" [ "(" logopts ")"] ] [ "quick" ]
              [ "on" ifspec ] [ route ] [ af ] [ protospec ]
              hosts [ filteropt-list ]

Eu gostaria que a combinação de interface de entrada e interface de saída correspondesse. Como eu posso fazer isso?

No Linux usando nft/nftables eu faria isso:

define iface_site2site = { "tun0", "tun1", "tun9" }
[...]
  chain forward {
    type filter hook forward priority 0;
    policy drop;

    iifname $iface_site2site oifname $iface_site2site accept \
      comment "Freely forward packets between site-to-site links, firewalled at final destination."
  }
[...]

No Linux usando iptableseu faria isso:

iptables -A [...] --in-interface tun+ --out-interface tun+ -j ACCEPT

Como posso fazer o acima no FreeBSD?

Apenas para ser claro; Não estou procurando por encaminhamento de porta ou regras NAT.

Digamos que eu queira aplicar uma regra a ip daddr { 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16 }, mas quero excluir dois endereços IPv4 mais específicos disso. Como faço isso?

Eu estava esperando uma maneira mais elegante de fazer isso:

ip daddr { 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16 } \
  ip daddr != 10.0.1.2 \
  ip daddr != 10.0.2.3

conforme explicado na nftmanpage para negação de endereços ou intervalos, mas não mostra uma maneira de fazer isso com sets .

Usar sets em nftables é muito legal. Atualmente, estou usando muitas instruções como estas em meus conjuntos de nftables.confregras:

iifname {clients0, dockernet} oifname wan0 accept \
    comment "Allow clients and Docker containers to reach the internet"

Na regra acima {clients0, dockernet}está um conjunto anônimo (inline) de interfaces. Em vez de repetir as regras repetidamente, gostaria de definir um conjunto de interfaces na parte superior do arquivo, chamado de conjunto nomeado em nftables. A página de manual (Debian Buster) mostra como fazer isso para vários tipos de conjuntos: ipv4_addr , ipv6_addr , ether_addr , inet_proto , inet_service e mark . No entanto, parece que não está disponível para interfaces por nome ou tipo primitivo simples, como strings.

Eu tenho a abordagem abaixo, mas isso não funciona com os erros fornecidos:

1. Omitindo o tipo:

   table inet filter {
     set myset {
       elements = {
         clients0,
         dockernet,           
       }
     }
     [...]
   }
   

   Resultado: Error: set definition does not specify key.

2. Usando o stringtipo:

   table inet filter {
     type string;
     set myset {
       elements = {
         clients0,
         dockernet,           
       }
     }
     [...]
   }
   

   Resultado: Error: unqualified key type string specified in set definition.

Não há realmente nenhuma maneira de nomear o conjunto anônimo que mostrei no topo?