BSDPORTAL.RU

На этом сайте обсуждаются вопросы использования ОС FreeBSD
 Портал  •  Статьи  •  Форум  •  Wiki  •  Поиск  •  FAQ  •  Обои  •   Официальная документация  •  Новые темы 

Часовой пояс: UTC + 4 часа




Начать новую тему Ответить на тему  [ Сообщений: 13 ] 
Автор Сообщение
 Заголовок сообщения: PF- странное поведение
СообщениеДобавлено: Ср 12 май, 2021 10:08 am 
Не в сети

Зарегистрирован: Пт 09 окт, 2020 11:46 am
Сообщения: 106
Запускаю телнет на порт 3389 с 192.168.2.217:
telnet 192.168.6.178 3389. Шлюз говорит: "rule 1/0(match): block in on re0: 192.168.6.178.3389 > 192.168.2.217.48844: Flags [S.]..."
Т.е. где-то стоит правило, которое блокирует это дело. Открываем конфиг и находим единственное такое правило: block log all
Тогда, чтобы подключение проходило, после block... пишем: pass quick from 192.168.6.178 to any - т.е. разрешаем подключение с этого адреса куда угодно. Ничего не меняется- выходит та же самая ошибка. Тогда запускаем ping 192.168.6.178 - пинг идет, а если сразу после пинга снова запустить телнет- то все проходит, шлюз его не блокирует. Если попробовать запустить телнет через пару минут- он снова не идет. Что за чудеса, интересно?
Кстати, если block log all убрать- то телнет проходит.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: PF- странное поведение
СообщениеДобавлено: Ср 12 май, 2021 11:42 am 
Не в сети
Аватара пользователя

Зарегистрирован: Пн 26 мар, 2007 6:04 pm
Сообщения: 1211
Откуда: Kyiv
То есть, вы разрешаете любые подключения с 192.168.6.178 куда угодно (не не наоборот: любые подключения именно к 192.168.6.178, так как именно к нему вы дальше пробуете подключаться). А дальше, внимание! Вы подключаетесь к 192.168.6.178. Как одно должно влиять на другое? Правильно, только через keep state (который включён по умолчанию), и как результат у вас работает telnet только после того, как вы сделаете исходящее соединение с 192.168.6.178.

Если вам нужен только доступ на 192.168.6.178 на 3389, то правило нужно такое:
Код:
pass from any to 192.168.6.178

quick нужен тогда, когда это правило будет выше блокирующего. Если оно будет ниже - quick не обязателен.

_________________
"Винда съела дрова и резет здесь не фурычит"
"Все говорят, что у меня /dev/hands кривой и я всё делаю через /dev/ass. А у меня этих файлов вообще нет!"


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: PF- странное поведение
СообщениеДобавлено: Ср 12 май, 2021 1:13 pm 
Не в сети

Зарегистрирован: Пт 09 окт, 2020 11:46 am
Сообщения: 106
1. "у вас работает telnet только после того, как вы сделаете исходящее соединение с 192.168.6.178."- видимо, под исходящим соединением подразумевается ответ на пинг от 192.168.6.178, потому что пингую я с компа 192.168.2.217
2. Прописал pass from any to 192.168.6.178 - ничего не изменилось, та же самая ошибка. Добавил pass from any to any- тоже не помогло.
Странно он себя ведет, этот самый PF...


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: PF- странное поведение
СообщениеДобавлено: Ср 12 май, 2021 3:57 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Пн 26 мар, 2007 6:04 pm
Сообщения: 1211
Откуда: Kyiv
Исходящее и ответ на входящее с точки зрения state full файервола - разные вещи.
Такое впечатление, что вы чего-то не договариваете: либо вы после изменения правил их не применяете, либо они не применяются, либо там правил больше, либо вы одновременно используете несколько файерволов, либо ещё 100500 вариантов.

_________________
"Винда съела дрова и резет здесь не фурычит"
"Все говорят, что у меня /dev/hands кривой и я всё делаю через /dev/ass. А у меня этих файлов вообще нет!"


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: PF- странное поведение
СообщениеДобавлено: Ср 12 май, 2021 4:26 pm 
Не в сети

Зарегистрирован: Пт 09 окт, 2020 11:46 am
Сообщения: 106
Правила я применяю командой pfctl -f /etc/pf.rules и они применяются- это я вижу на примере добавления/удаления block log all
Другого файерволла не должно быть. И не пускает как раз PF, потому что если убрать строку block log all - все начинает работать, а как только ее пишу- не пускает, и даже добавление строки pass from any to any не помогает.
Правил там много, но block - только эта строка.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: PF- странное поведение
СообщениеДобавлено: Ср 12 май, 2021 4:42 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Пн 26 мар, 2007 6:04 pm
Сообщения: 1211
Откуда: Kyiv
Чудес не бывает: правило
Код:
pass from any to 192.168.6.178

разрешает любые подключения к 192.168.6.178 (если оно расположено верно), причём создаёт обратное правило по keep state, поэтому подключение telnet 192.168.6.178 3389 должно работать без всяких предварительных ping. Я сейчас не беру в расчёт непосредственно файервол (или хитрый антивирус) на хосте 192.168.6.178 (а он там скорее всего есть и по умолчанию много чего блокирует).
Приведите вывод pfctl -sr -v, где видно, что данное правило срабатывает.

_________________
"Винда съела дрова и резет здесь не фурычит"
"Все говорят, что у меня /dev/hands кривой и я всё делаю через /dev/ass. А у меня этих файлов вообще нет!"


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: PF- странное поведение
СообщениеДобавлено: Ср 12 май, 2021 4:56 pm 
Не в сети

Зарегистрирован: Пт 09 окт, 2020 11:46 am
Сообщения: 106
pfctl -sr -v| grep 192.168.6.178
pass inet from any to 192.168.6.178 flags S/SA keep state
На этом компе стоит винда 7-ка, в брандмауере прописаны правила, разрешающие все входящие/исходящие подключения


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: PF- странное поведение
СообщениеДобавлено: Ср 12 май, 2021 5:06 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Пн 26 мар, 2007 6:04 pm
Сообщения: 1211
Откуда: Kyiv
нет, тут тупой grep не пойдёт, ибо самое важное - это 2 строки, которые идут после. то есть нужно так:
Код:
pfctl -sr -v | grep -A 2 192.168.6.178

_________________
"Винда съела дрова и резет здесь не фурычит"
"Все говорят, что у меня /dev/hands кривой и я всё делаю через /dev/ass. А у меня этих файлов вообще нет!"


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: PF- странное поведение
СообщениеДобавлено: Ср 12 май, 2021 5:25 pm 
Не в сети

Зарегистрирован: Пт 09 окт, 2020 11:46 am
Сообщения: 106
pfctl -sr -v | grep -A 2 192.168.6.178
No ALTQ support in kernel
ALTQ related functions disabled
pass inet from any to 192.168.6.178 flags S/SA keep state
[ Evaluations: 5265 Packets: 0 Bytes: 0 States: 0 ]
[ Inserted: uid 0 pid 58795 State Creations: 0 ]

Т.е. правило есть, но ни один пакет им не обработался?


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: PF- странное поведение
СообщениеДобавлено: Ср 12 май, 2021 5:31 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Пн 26 мар, 2007 6:04 pm
Сообщения: 1211
Откуда: Kyiv
Вот и ответ: срабатывает другое правило, скорее всего запрещающее, ибо если бы разрешающее, то доступ был бы.

_________________
"Винда съела дрова и резет здесь не фурычит"
"Все говорят, что у меня /dev/hands кривой и я всё делаю через /dev/ass. А у меня этих файлов вообще нет!"


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: PF- странное поведение
СообщениеДобавлено: Ср 12 май, 2021 5:38 pm 
Не в сети

Зарегистрирован: Пт 09 окт, 2020 11:46 am
Сообщения: 106
Ну да, логично. А как его найти? В конфиге только одна строка block log all, после нее сразу идет pass from any to 192.168.6.178 и больше строк с block.. нету.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: PF- странное поведение
СообщениеДобавлено: Ср 12 май, 2021 5:46 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Пн 26 мар, 2007 6:04 pm
Сообщения: 1211
Откуда: Kyiv
приводите все правила сюда, можете убрать правила для внешних IP.

_________________
"Винда съела дрова и резет здесь не фурычит"
"Все говорят, что у меня /dev/hands кривой и я всё делаю через /dev/ass. А у меня этих файлов вообще нет!"


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: PF- странное поведение
СообщениеДобавлено: Ср 12 май, 2021 7:34 pm 
Не в сети

Зарегистрирован: Пт 09 окт, 2020 11:46 am
Сообщения: 106
Правила- которые после block..?
А есть какая-то команда, которую можно вставить после block log all , которая бы все разрешала? Я пробовал pass all - не работает.


Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 13 ] 

Часовой пояс: UTC + 4 часа


Кто сейчас на конференции

Зарегистрированные пользователи: Bing [Bot], Google [Bot], Majestic-12 [Bot]


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB
Яндекс.Метрика