The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка  RSS
"PF - не пропускает пакеты на localhost"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Информационная безопасность (Public)
Изначальное сообщение [Проследить за развитием треда]

"PF - не пропускает пакеты на localhost"  
Сообщение от kosm email(ok) on 08-Фев-06, 16:08 
Всем доброго времени суток.
Подскажите плиз, в чем может быть трабла, вроде в правилах все разрешено с lo0 интерфейса:
--
block log-all all
pass quick on lo0 all
antispoof for $ext_if inet
--
Но при попытке законектиться к локальному RSH серверу - тишина. В логах присутствуют такие записи (хотя log-all сделан только на deny):
--
Feb  8 15:55:00 firewall pf: 000020 rule 2/3(short): pass out on lo0: IP 127.0.0.1.514 > 127.0.0.1.742: . ack 16 win 65535 <nop,nop,timestamp 370068103 370068077>
Feb  8 15:55:00 firewall pf: 000021 rule 2/3(short): pass out on lo0: IP 127.0.0.1.514 > 127.0.0.1.742: P 0:1(1) ack 16 win 65535 <nop,nop,timestamp 370068103 370068077>
--
В чем трабла может быть, дайте идею плиз. Спасибо.
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

 Оглавление

Сообщения по теме [Сортировка по времени, UBB]


1. "PF - не пропускает пакеты на localhost"  
Сообщение от billy email(ok) on 10-Фев-06, 13:55 
А не может быть так, что первое правило - block - не пускает больше вообще ничего? Т.е. любой пакетудовлетворяет правилу №1 и блокируется. Говорю по аналогии c ipfw, с PF дела не имел.
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

2. "PF - не пропускает пакеты на localhost"  
Сообщение от kosm email(ok) on 10-Фев-06, 15:30 
>А не может быть так, что первое правило - block - не
>пускает больше вообще ничего? Т.е. любой пакетудовлетворяет правилу №1 и блокируется.
>Говорю по аналогии c ipfw, с PF дела не имел.

Не, у PF если надо чтобы обработка прекратилась на правиле ключевое слово quick добавлять, а тут его нет - обработка должна далее проходить. Вообще странное дело - не люблю когда не понятное что-то происходит :(

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

3. "PF - не пропускает пакеты на localhost"  
Сообщение от billy email(ok) on 10-Фев-06, 15:51 
>Не, у PF если надо чтобы обработка прекратилась на правиле ключевое слово
>quick добавлять, а тут его нет - обработка должна далее проходить.
Забавно. Раз на первом правиле ничего не отбрасывается, то зачем оно?

>Вообще странное дело - не люблю когда не понятное что-то происходит
>:(
Полностью согласен. Сам чудес не люблю.


Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

4. "PF - не пропускает пакеты на localhost"  
Сообщение от kosm email(??) on 11-Фев-06, 13:14 
>>Не, у PF если надо чтобы обработка прекратилась на правиле ключевое слово
>>quick добавлять, а тут его нет - обработка должна далее проходить.
>Забавно. Раз на первом правиле ничего не отбрасывается, то зачем оно?
Это специфика работы PF - идет только пометка на DENY и если далее не будет явного разрешения на пакет, то будет такому пакету DENY.
Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

5. "PF - не пропускает пакеты на localhost"  
Сообщение от idle (ok) on 12-Фев-06, 21:20 
>Всем доброго времени суток.
>Подскажите плиз, в чем может быть трабла, вроде в правилах все разрешено
>с lo0 интерфейса:
>--
>block log-all all
>pass quick on lo0 all
>antispoof for $ext_if inet
>--
>Но при попытке законектиться к локальному RSH серверу - тишина. В логах
>присутствуют такие записи (хотя log-all сделан только на deny):
>--
>Feb  8 15:55:00 firewall pf: 000020 rule 2/3(short): pass out on lo0: IP 127.0.0.1.514 > 127.0.0.1.742: . ack 16 win 65535 <nop,nop,timestamp 370068103 370068077>
>Feb  8 15:55:00 firewall pf: 000021 rule 2/3(short): pass out on lo0: IP 127.0.0.1.514 > 127.0.0.1.742: P 0:1(1) ack 16 win 65535 <nop,nop,timestamp 370068103 370068077>
>--
>В чем трабла может быть, дайте идею плиз. Спасибо.
Перед строкой:
antispoof for $ext_if inet
надо добавить:
set skip on lo0
http://www.openbsd.org/faq/pf/filter.html#antispoof


Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

6. "PF - не пропускает пакеты на localhost"  
Сообщение от kosm email(ok) on 13-Фев-06, 14:30 
>>Всем доброго времени суток.
>>Подскажите плиз, в чем может быть трабла, вроде в правилах все разрешено
>>с lo0 интерфейса:
>>--
>>block log-all all
>>pass quick on lo0 all
>>antispoof for $ext_if inet
>>--
>>Но при попытке законектиться к локальному RSH серверу - тишина. В логах
>>присутствуют такие записи (хотя log-all сделан только на deny):
>>--
>>Feb  8 15:55:00 firewall pf: 000020 rule 2/3(short): pass out on lo0: IP 127.0.0.1.514 > 127.0.0.1.742: . ack 16 win 65535 <nop,nop,timestamp 370068103 370068077>
>>Feb  8 15:55:00 firewall pf: 000021 rule 2/3(short): pass out on lo0: IP 127.0.0.1.514 > 127.0.0.1.742: P 0:1(1) ack 16 win 65535 <nop,nop,timestamp 370068103 370068077>
>>--
>>В чем трабла может быть, дайте идею плиз. Спасибо.
>Перед строкой:
>antispoof for $ext_if inet
>надо добавить:
>set skip on lo0
>http://www.openbsd.org/faq/pf/filter.html#antispoof

Спасибо за наводку, но говорит что нет такой опции. PF собирал на фре 5.3

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

7. "PF - не пропускает пакеты на localhost"  
Сообщение от Андрей Кочетков email on 14-Фев-06, 08:24 
>>>Всем доброго времени суток.
>>>Подскажите плиз, в чем может быть трабла, вроде в правилах все разрешено
>>>с lo0 интерфейса:
>>>--
>>>block log-all all
>>>pass quick on lo0 all
>>>antispoof for $ext_if inet
>>>--
>>>Но при попытке законектиться к локальному RSH серверу - тишина. В логах
>>>присутствуют такие записи (хотя log-all сделан только на deny):
>>>--
>>>Feb  8 15:55:00 firewall pf: 000020 rule 2/3(short): pass out on lo0: IP 127.0.0.1.514 > 127.0.0.1.742: . ack 16 win 65535 <nop,nop,timestamp 370068103 370068077>
>>>Feb  8 15:55:00 firewall pf: 000021 rule 2/3(short): pass out on lo0: IP 127.0.0.1.514 > 127.0.0.1.742: P 0:1(1) ack 16 win 65535 <nop,nop,timestamp 370068103 370068077>
>>>--
>>>В чем трабла может быть, дайте идею плиз. Спасибо.
>>Перед строкой:
>>antispoof for $ext_if inet
>>надо добавить:
>>set skip on lo0
>>http://www.openbsd.org/faq/pf/filter.html#antispoof
>
>Спасибо за наводку, но говорит что нет такой опции. PF собирал на
>фре 5.3

Погляди в списке рассылки freebsd-pf@freebsd.org, там точно было такое-же.
Есть подозрение, что хочешь законнектиться к считалке трафа? Мне помогло.
Ответ давал сам MAX LAIER.
Удачи.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру