BSDPORTAL.RU

На этом сайте обсуждаются вопросы использования ОС FreeBSD
 Портал  •  Статьи  •  Форум  •  Wiki  •  Поиск  •  FAQ  •  Обои  •   Официальная документация  •  Новые темы 

Часовой пояс: UTC + 4 часа




Начать новую тему Ответить на тему  [ Сообщений: 13 ] 
Автор Сообщение
 Заголовок сообщения: PF- странное поведение
СообщениеДобавлено: Ср 12 май, 2021 10:08 am 
Не в сети

Зарегистрирован: Пт 09 окт, 2020 11:46 am
Сообщения: 106
Запускаю телнет на порт 3389 с 192.168.2.217:
telnet 192.168.6.178 3389. Шлюз говорит: "rule 1/0(match): block in on re0: 192.168.6.178.3389 > 192.168.2.217.48844: Flags [S.]..."
Т.е. где-то стоит правило, которое блокирует это дело. Открываем конфиг и находим единственное такое правило: block log all
Тогда, чтобы подключение проходило, после block... пишем: pass quick from 192.168.6.178 to any - т.е. разрешаем подключение с этого адреса куда угодно. Ничего не меняется- выходит та же самая ошибка. Тогда запускаем ping 192.168.6.178 - пинг идет, а если сразу после пинга снова запустить телнет- то все проходит, шлюз его не блокирует. Если попробовать запустить телнет через пару минут- он снова не идет. Что за чудеса, интересно?
Кстати, если block log all убрать- то телнет проходит.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: PF- странное поведение
СообщениеДобавлено: Ср 12 май, 2021 11:42 am 
Не в сети
Аватара пользователя

Зарегистрирован: Пн 26 мар, 2007 6:04 pm
Сообщения: 1211
Откуда: Kyiv
То есть, вы разрешаете любые подключения с 192.168.6.178 куда угодно (не не наоборот: любые подключения именно к 192.168.6.178, так как именно к нему вы дальше пробуете подключаться). А дальше, внимание! Вы подключаетесь к 192.168.6.178. Как одно должно влиять на другое? Правильно, только через keep state (который включён по умолчанию), и как результат у вас работает telnet только после того, как вы сделаете исходящее соединение с 192.168.6.178.

Если вам нужен только доступ на 192.168.6.178 на 3389, то правило нужно такое:
Код:
pass from any to 192.168.6.178

quick нужен тогда, когда это правило будет выше блокирующего. Если оно будет ниже - quick не обязателен.

_________________
"Винда съела дрова и резет здесь не фурычит"
"Все говорят, что у меня /dev/hands кривой и я всё делаю через /dev/ass. А у меня этих файлов вообще нет!"


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: PF- странное поведение
СообщениеДобавлено: Ср 12 май, 2021 1:13 pm 
Не в сети

Зарегистрирован: Пт 09 окт, 2020 11:46 am
Сообщения: 106
1. "у вас работает telnet только после того, как вы сделаете исходящее соединение с 192.168.6.178."- видимо, под исходящим соединением подразумевается ответ на пинг от 192.168.6.178, потому что пингую я с компа 192.168.2.217
2. Прописал pass from any to 192.168.6.178 - ничего не изменилось, та же самая ошибка. Добавил pass from any to any- тоже не помогло.
Странно он себя ведет, этот самый PF...


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: PF- странное поведение
СообщениеДобавлено: Ср 12 май, 2021 3:57 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Пн 26 мар, 2007 6:04 pm
Сообщения: 1211
Откуда: Kyiv
Исходящее и ответ на входящее с точки зрения state full файервола - разные вещи.
Такое впечатление, что вы чего-то не договариваете: либо вы после изменения правил их не применяете, либо они не применяются, либо там правил больше, либо вы одновременно используете несколько файерволов, либо ещё 100500 вариантов.

_________________
"Винда съела дрова и резет здесь не фурычит"
"Все говорят, что у меня /dev/hands кривой и я всё делаю через /dev/ass. А у меня этих файлов вообще нет!"


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: PF- странное поведение
СообщениеДобавлено: Ср 12 май, 2021 4:26 pm 
Не в сети

Зарегистрирован: Пт 09 окт, 2020 11:46 am
Сообщения: 106
Правила я применяю командой pfctl -f /etc/pf.rules и они применяются- это я вижу на примере добавления/удаления block log all
Другого файерволла не должно быть. И не пускает как раз PF, потому что если убрать строку block log all - все начинает работать, а как только ее пишу- не пускает, и даже добавление строки pass from any to any не помогает.
Правил там много, но block - только эта строка.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: PF- странное поведение
СообщениеДобавлено: Ср 12 май, 2021 4:42 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Пн 26 мар, 2007 6:04 pm
Сообщения: 1211
Откуда: Kyiv
Чудес не бывает: правило
Код:
pass from any to 192.168.6.178

разрешает любые подключения к 192.168.6.178 (если оно расположено верно), причём создаёт обратное правило по keep state, поэтому подключение telnet 192.168.6.178 3389 должно работать без всяких предварительных ping. Я сейчас не беру в расчёт непосредственно файервол (или хитрый антивирус) на хосте 192.168.6.178 (а он там скорее всего есть и по умолчанию много чего блокирует).
Приведите вывод pfctl -sr -v, где видно, что данное правило срабатывает.

_________________
"Винда съела дрова и резет здесь не фурычит"
"Все говорят, что у меня /dev/hands кривой и я всё делаю через /dev/ass. А у меня этих файлов вообще нет!"


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: PF- странное поведение
СообщениеДобавлено: Ср 12 май, 2021 4:56 pm 
Не в сети

Зарегистрирован: Пт 09 окт, 2020 11:46 am
Сообщения: 106
pfctl -sr -v| grep 192.168.6.178
pass inet from any to 192.168.6.178 flags S/SA keep state
На этом компе стоит винда 7-ка, в брандмауере прописаны правила, разрешающие все входящие/исходящие подключения


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: PF- странное поведение
СообщениеДобавлено: Ср 12 май, 2021 5:06 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Пн 26 мар, 2007 6:04 pm
Сообщения: 1211
Откуда: Kyiv
нет, тут тупой grep не пойдёт, ибо самое важное - это 2 строки, которые идут после. то есть нужно так:
Код:
pfctl -sr -v | grep -A 2 192.168.6.178

_________________
"Винда съела дрова и резет здесь не фурычит"
"Все говорят, что у меня /dev/hands кривой и я всё делаю через /dev/ass. А у меня этих файлов вообще нет!"


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: PF- странное поведение
СообщениеДобавлено: Ср 12 май, 2021 5:25 pm 
Не в сети

Зарегистрирован: Пт 09 окт, 2020 11:46 am
Сообщения: 106
pfctl -sr -v | grep -A 2 192.168.6.178
No ALTQ support in kernel
ALTQ related functions disabled
pass inet from any to 192.168.6.178 flags S/SA keep state
[ Evaluations: 5265 Packets: 0 Bytes: 0 States: 0 ]
[ Inserted: uid 0 pid 58795 State Creations: 0 ]

Т.е. правило есть, но ни один пакет им не обработался?


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: PF- странное поведение
СообщениеДобавлено: Ср 12 май, 2021 5:31 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Пн 26 мар, 2007 6:04 pm
Сообщения: 1211
Откуда: Kyiv
Вот и ответ: срабатывает другое правило, скорее всего запрещающее, ибо если бы разрешающее, то доступ был бы.

_________________
"Винда съела дрова и резет здесь не фурычит"
"Все говорят, что у меня /dev/hands кривой и я всё делаю через /dev/ass. А у меня этих файлов вообще нет!"


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: PF- странное поведение
СообщениеДобавлено: Ср 12 май, 2021 5:38 pm 
Не в сети

Зарегистрирован: Пт 09 окт, 2020 11:46 am
Сообщения: 106
Ну да, логично. А как его найти? В конфиге только одна строка block log all, после нее сразу идет pass from any to 192.168.6.178 и больше строк с block.. нету.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: PF- странное поведение
СообщениеДобавлено: Ср 12 май, 2021 5:46 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Пн 26 мар, 2007 6:04 pm
Сообщения: 1211
Откуда: Kyiv
приводите все правила сюда, можете убрать правила для внешних IP.

_________________
"Винда съела дрова и резет здесь не фурычит"
"Все говорят, что у меня /dev/hands кривой и я всё делаю через /dev/ass. А у меня этих файлов вообще нет!"


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: PF- странное поведение
СообщениеДобавлено: Ср 12 май, 2021 7:34 pm 
Не в сети

Зарегистрирован: Пт 09 окт, 2020 11:46 am
Сообщения: 106
Правила- которые после block..?
А есть какая-то команда, которую можно вставить после block log all , которая бы все разрешала? Я пробовал pass all - не работает.


Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 13 ] 

Часовой пояс: UTC + 4 часа


Кто сейчас на конференции

Зарегистрированные пользователи: Bing [Bot], Google Feedfetcher


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
cron
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB
Яндекс.Метрика