BSDPORTAL.RU
http://bsdportal.ru/

PF- странное поведение
http://bsdportal.ru/viewtopic.php?f=13&t=29200
Страница 1 из 1

Автор:  AndreyA [ Ср 12 май, 2021 10:08 am ]
Заголовок сообщения:  PF- странное поведение

Запускаю телнет на порт 3389 с 192.168.2.217:
telnet 192.168.6.178 3389. Шлюз говорит: "rule 1/0(match): block in on re0: 192.168.6.178.3389 > 192.168.2.217.48844: Flags [S.]..."
Т.е. где-то стоит правило, которое блокирует это дело. Открываем конфиг и находим единственное такое правило: block log all
Тогда, чтобы подключение проходило, после block... пишем: pass quick from 192.168.6.178 to any - т.е. разрешаем подключение с этого адреса куда угодно. Ничего не меняется- выходит та же самая ошибка. Тогда запускаем ping 192.168.6.178 - пинг идет, а если сразу после пинга снова запустить телнет- то все проходит, шлюз его не блокирует. Если попробовать запустить телнет через пару минут- он снова не идет. Что за чудеса, интересно?
Кстати, если block log all убрать- то телнет проходит.

Автор:  skeletor [ Ср 12 май, 2021 11:42 am ]
Заголовок сообщения:  Re: PF- странное поведение

То есть, вы разрешаете любые подключения с 192.168.6.178 куда угодно (не не наоборот: любые подключения именно к 192.168.6.178, так как именно к нему вы дальше пробуете подключаться). А дальше, внимание! Вы подключаетесь к 192.168.6.178. Как одно должно влиять на другое? Правильно, только через keep state (который включён по умолчанию), и как результат у вас работает telnet только после того, как вы сделаете исходящее соединение с 192.168.6.178.

Если вам нужен только доступ на 192.168.6.178 на 3389, то правило нужно такое:
Код:
pass from any to 192.168.6.178

quick нужен тогда, когда это правило будет выше блокирующего. Если оно будет ниже - quick не обязателен.

Автор:  AndreyA [ Ср 12 май, 2021 1:13 pm ]
Заголовок сообщения:  Re: PF- странное поведение

1. "у вас работает telnet только после того, как вы сделаете исходящее соединение с 192.168.6.178."- видимо, под исходящим соединением подразумевается ответ на пинг от 192.168.6.178, потому что пингую я с компа 192.168.2.217
2. Прописал pass from any to 192.168.6.178 - ничего не изменилось, та же самая ошибка. Добавил pass from any to any- тоже не помогло.
Странно он себя ведет, этот самый PF...

Автор:  skeletor [ Ср 12 май, 2021 3:57 pm ]
Заголовок сообщения:  Re: PF- странное поведение

Исходящее и ответ на входящее с точки зрения state full файервола - разные вещи.
Такое впечатление, что вы чего-то не договариваете: либо вы после изменения правил их не применяете, либо они не применяются, либо там правил больше, либо вы одновременно используете несколько файерволов, либо ещё 100500 вариантов.

Автор:  AndreyA [ Ср 12 май, 2021 4:26 pm ]
Заголовок сообщения:  Re: PF- странное поведение

Правила я применяю командой pfctl -f /etc/pf.rules и они применяются- это я вижу на примере добавления/удаления block log all
Другого файерволла не должно быть. И не пускает как раз PF, потому что если убрать строку block log all - все начинает работать, а как только ее пишу- не пускает, и даже добавление строки pass from any to any не помогает.
Правил там много, но block - только эта строка.

Автор:  skeletor [ Ср 12 май, 2021 4:42 pm ]
Заголовок сообщения:  Re: PF- странное поведение

Чудес не бывает: правило
Код:
pass from any to 192.168.6.178

разрешает любые подключения к 192.168.6.178 (если оно расположено верно), причём создаёт обратное правило по keep state, поэтому подключение telnet 192.168.6.178 3389 должно работать без всяких предварительных ping. Я сейчас не беру в расчёт непосредственно файервол (или хитрый антивирус) на хосте 192.168.6.178 (а он там скорее всего есть и по умолчанию много чего блокирует).
Приведите вывод pfctl -sr -v, где видно, что данное правило срабатывает.

Автор:  AndreyA [ Ср 12 май, 2021 4:56 pm ]
Заголовок сообщения:  Re: PF- странное поведение

pfctl -sr -v| grep 192.168.6.178
pass inet from any to 192.168.6.178 flags S/SA keep state
На этом компе стоит винда 7-ка, в брандмауере прописаны правила, разрешающие все входящие/исходящие подключения

Автор:  skeletor [ Ср 12 май, 2021 5:06 pm ]
Заголовок сообщения:  Re: PF- странное поведение

нет, тут тупой grep не пойдёт, ибо самое важное - это 2 строки, которые идут после. то есть нужно так:
Код:
pfctl -sr -v | grep -A 2 192.168.6.178

Автор:  AndreyA [ Ср 12 май, 2021 5:25 pm ]
Заголовок сообщения:  Re: PF- странное поведение

pfctl -sr -v | grep -A 2 192.168.6.178
No ALTQ support in kernel
ALTQ related functions disabled
pass inet from any to 192.168.6.178 flags S/SA keep state
[ Evaluations: 5265 Packets: 0 Bytes: 0 States: 0 ]
[ Inserted: uid 0 pid 58795 State Creations: 0 ]

Т.е. правило есть, но ни один пакет им не обработался?

Автор:  skeletor [ Ср 12 май, 2021 5:31 pm ]
Заголовок сообщения:  Re: PF- странное поведение

Вот и ответ: срабатывает другое правило, скорее всего запрещающее, ибо если бы разрешающее, то доступ был бы.

Автор:  AndreyA [ Ср 12 май, 2021 5:38 pm ]
Заголовок сообщения:  Re: PF- странное поведение

Ну да, логично. А как его найти? В конфиге только одна строка block log all, после нее сразу идет pass from any to 192.168.6.178 и больше строк с block.. нету.

Автор:  skeletor [ Ср 12 май, 2021 5:46 pm ]
Заголовок сообщения:  Re: PF- странное поведение

приводите все правила сюда, можете убрать правила для внешних IP.

Автор:  AndreyA [ Ср 12 май, 2021 7:34 pm ]
Заголовок сообщения:  Re: PF- странное поведение

Правила- которые после block..?
А есть какая-то команда, которую можно вставить после block log all , которая бы все разрешала? Я пробовал pass all - не работает.

Страница 1 из 1 Часовой пояс: UTC + 4 часа
Powered by phpBB® Forum Software © phpBB Group
http://www.phpbb.com/