forum.opennet.ru - "PF - не пропускает пакеты на localhost" (7)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"PF - не пропускает пакеты на localhost"

Форумы Информационная безопасность (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"PF - не пропускает пакеты на localhost"
Сообщение от kosm (ok) on 08-Фев-06, 16:08
Всем доброго времени суток. Подскажите плиз, в чем может быть трабла, вроде в правилах все разрешено с lo0 интерфейса: -- block log-all all pass quick on lo0 all antispoof for $ext_if inet -- Но при попытке законектиться к локальному RSH серверу - тишина. В логах присутствуют такие записи (хотя log-all сделан только на deny): -- Feb 8 15:55:00 firewall pf: 000020 rule 2/3(short): pass out on lo0: IP 127.0.0.1.514 > 127.0.0.1.742: . ack 16 win 65535 <nop,nop,timestamp 370068103 370068077> Feb 8 15:55:00 firewall pf: 000021 rule 2/3(short): pass out on lo0: IP 127.0.0.1.514 > 127.0.0.1.742: P 0:1(1) ack 16 win 65535 <nop,nop,timestamp 370068103 370068077> -- В чем трабла может быть, дайте идею плиз. Спасибо.
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх

Оглавление

PF - не пропускает пакеты на localhost, billy, 13:55 , 10-Фев-06, (1)

PF - не пропускает пакеты на localhost, kosm, 15:30 , 10-Фев-06, (2)

PF - не пропускает пакеты на localhost, billy, 15:51 , 10-Фев-06, (3)

PF - не пропускает пакеты на localhost, kosm, 13:14 , 11-Фев-06, (4)

PF - не пропускает пакеты на localhost, idle, 21:20 , 12-Фев-06, (5)

PF - не пропускает пакеты на localhost, kosm, 14:30 , 13-Фев-06, (6)

PF - не пропускает пакеты на localhost, Андрей Кочетков, 08:24 , 14-Фев-06, (7)

Сообщения по теме [Сортировка по времени, UBB]

1. "PF - не пропускает пакеты на localhost"

Сообщение от billy (ok) on 10-Фев-06, 13:55

А не может быть так, что первое правило - block - не пускает больше вообще ничего? Т.е. любой пакетудовлетворяет правилу №1 и блокируется. Говорю по аналогии c ipfw, с PF дела не имел.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

2. "PF - не пропускает пакеты на localhost"

Сообщение от kosm (ok) on 10-Фев-06, 15:30

>А не может быть так, что первое правило - block - не
>пускает больше вообще ничего? Т.е. любой пакетудовлетворяет правилу №1 и блокируется.
>Говорю по аналогии c ipfw, с PF дела не имел.
Не, у PF если надо чтобы обработка прекратилась на правиле ключевое слово quick добавлять, а тут его нет - обработка должна далее проходить. Вообще странное дело - не люблю когда не понятное что-то происходит :(

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

3. "PF - не пропускает пакеты на localhost"

Сообщение от billy (ok) on 10-Фев-06, 15:51

>Не, у PF если надо чтобы обработка прекратилась на правиле ключевое слово
>quick добавлять, а тут его нет - обработка должна далее проходить.
Забавно. Раз на первом правиле ничего не отбрасывается, то зачем оно?
>Вообще странное дело - не люблю когда не понятное что-то происходит
>:(
Полностью согласен. Сам чудес не люблю.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

4. "PF - не пропускает пакеты на localhost"

Сообщение от kosm (??) on 11-Фев-06, 13:14

>>Не, у PF если надо чтобы обработка прекратилась на правиле ключевое слово
>>quick добавлять, а тут его нет - обработка должна далее проходить.
>Забавно. Раз на первом правиле ничего не отбрасывается, то зачем оно?
Это специфика работы PF - идет только пометка на DENY и если далее не будет явного разрешения на пакет, то будет такому пакету DENY.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

5. "PF - не пропускает пакеты на localhost"

Сообщение от idle (ok) on 12-Фев-06, 21:20

>Всем доброго времени суток.
>Подскажите плиз, в чем может быть трабла, вроде в правилах все разрешено
>с lo0 интерфейса:
>--
>block log-all all
>pass quick on lo0 all
>antispoof for $ext_if inet
>--
>Но при попытке законектиться к локальному RSH серверу - тишина. В логах
>присутствуют такие записи (хотя log-all сделан только на deny):
>--
>Feb  8 15:55:00 firewall pf: 000020 rule 2/3(short): pass out on lo0: IP 127.0.0.1.514 > 127.0.0.1.742: . ack 16 win 65535 <nop,nop,timestamp 370068103 370068077>
>Feb  8 15:55:00 firewall pf: 000021 rule 2/3(short): pass out on lo0: IP 127.0.0.1.514 > 127.0.0.1.742: P 0:1(1) ack 16 win 65535 <nop,nop,timestamp 370068103 370068077>
>--
>В чем трабла может быть, дайте идею плиз. Спасибо.
Перед строкой:
antispoof for $ext_if inet
надо добавить:
set skip on lo0
http://www.openbsd.org/faq/pf/filter.html#antispoof

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

6. "PF - не пропускает пакеты на localhost"

Сообщение от kosm (ok) on 13-Фев-06, 14:30

>>Всем доброго времени суток.
>>Подскажите плиз, в чем может быть трабла, вроде в правилах все разрешено
>>с lo0 интерфейса:
>>--
>>block log-all all
>>pass quick on lo0 all
>>antispoof for $ext_if inet
>>--
>>Но при попытке законектиться к локальному RSH серверу - тишина. В логах
>>присутствуют такие записи (хотя log-all сделан только на deny):
>>--
>>Feb  8 15:55:00 firewall pf: 000020 rule 2/3(short): pass out on lo0: IP 127.0.0.1.514 > 127.0.0.1.742: . ack 16 win 65535 <nop,nop,timestamp 370068103 370068077>
>>Feb  8 15:55:00 firewall pf: 000021 rule 2/3(short): pass out on lo0: IP 127.0.0.1.514 > 127.0.0.1.742: P 0:1(1) ack 16 win 65535 <nop,nop,timestamp 370068103 370068077>
>>--
>>В чем трабла может быть, дайте идею плиз. Спасибо.
>Перед строкой:
>antispoof for $ext_if inet
>надо добавить:
>set skip on lo0
>http://www.openbsd.org/faq/pf/filter.html#antispoof
Спасибо за наводку, но говорит что нет такой опции. PF собирал на фре 5.3

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

7. "PF - не пропускает пакеты на localhost"

Сообщение от Андрей Кочетков on 14-Фев-06, 08:24

>>>Всем доброго времени суток.
>>>Подскажите плиз, в чем может быть трабла, вроде в правилах все разрешено
>>>с lo0 интерфейса:
>>>--
>>>block log-all all
>>>pass quick on lo0 all
>>>antispoof for $ext_if inet
>>>--
>>>Но при попытке законектиться к локальному RSH серверу - тишина. В логах
>>>присутствуют такие записи (хотя log-all сделан только на deny):
>>>--
>>>Feb  8 15:55:00 firewall pf: 000020 rule 2/3(short): pass out on lo0: IP 127.0.0.1.514 > 127.0.0.1.742: . ack 16 win 65535 <nop,nop,timestamp 370068103 370068077>
>>>Feb  8 15:55:00 firewall pf: 000021 rule 2/3(short): pass out on lo0: IP 127.0.0.1.514 > 127.0.0.1.742: P 0:1(1) ack 16 win 65535 <nop,nop,timestamp 370068103 370068077>
>>>--
>>>В чем трабла может быть, дайте идею плиз. Спасибо.
>>Перед строкой:
>>antispoof for $ext_if inet
>>надо добавить:
>>set skip on lo0
>>http://www.openbsd.org/faq/pf/filter.html#antispoof
>
>Спасибо за наводку, но говорит что нет такой опции. PF собирал на
>фре 5.3
Погляди в списке рассылки freebsd-pf@freebsd.org, там точно было такое-же.
Есть подозрение, что хочешь законнектиться к считалке трафа? Мне помогло.
Ответ давал сам MAX LAIER.
Удачи.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "PF - не пропускает пакеты на localhost"
Сообщение от billy (ok) on 10-Фев-06, 13:55
А не может быть так, что первое правило - block - не пускает больше вообще ничего? Т.е. любой пакетудовлетворяет правилу №1 и блокируется. Говорю по аналогии c ipfw, с PF дела не имел.
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	2. "PF - не пропускает пакеты на localhost"
	Сообщение от kosm (ok) on 10-Фев-06, 15:30
	>А не может быть так, что первое правило - block - не >пускает больше вообще ничего? Т.е. любой пакетудовлетворяет правилу №1 и блокируется. >Говорю по аналогии c ipfw, с PF дела не имел. Не, у PF если надо чтобы обработка прекратилась на правиле ключевое слово quick добавлять, а тут его нет - обработка должна далее проходить. Вообще странное дело - не люблю когда не понятное что-то происходит :(
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	3. "PF - не пропускает пакеты на localhost"
	Сообщение от billy (ok) on 10-Фев-06, 15:51
	>Не, у PF если надо чтобы обработка прекратилась на правиле ключевое слово >quick добавлять, а тут его нет - обработка должна далее проходить. Забавно. Раз на первом правиле ничего не отбрасывается, то зачем оно? >Вообще странное дело - не люблю когда не понятное что-то происходит >:( Полностью согласен. Сам чудес не люблю.
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	4. "PF - не пропускает пакеты на localhost"
	Сообщение от kosm (??) on 11-Фев-06, 13:14
	>>Не, у PF если надо чтобы обработка прекратилась на правиле ключевое слово >>quick добавлять, а тут его нет - обработка должна далее проходить. >Забавно. Раз на первом правиле ничего не отбрасывается, то зачем оно? Это специфика работы PF - идет только пометка на DENY и если далее не будет явного разрешения на пакет, то будет такому пакету DENY.
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх

5. "PF - не пропускает пакеты на localhost"
Сообщение от idle (ok) on 12-Фев-06, 21:20
>Всем доброго времени суток. >Подскажите плиз, в чем может быть трабла, вроде в правилах все разрешено >с lo0 интерфейса: >-- >block log-all all >pass quick on lo0 all >antispoof for $ext_if inet >-- >Но при попытке законектиться к локальному RSH серверу - тишина. В логах >присутствуют такие записи (хотя log-all сделан только на deny): >-- >Feb 8 15:55:00 firewall pf: 000020 rule 2/3(short): pass out on lo0: IP 127.0.0.1.514 > 127.0.0.1.742: . ack 16 win 65535 <nop,nop,timestamp 370068103 370068077> >Feb 8 15:55:00 firewall pf: 000021 rule 2/3(short): pass out on lo0: IP 127.0.0.1.514 > 127.0.0.1.742: P 0:1(1) ack 16 win 65535 <nop,nop,timestamp 370068103 370068077> >-- >В чем трабла может быть, дайте идею плиз. Спасибо. Перед строкой: antispoof for $ext_if inet надо добавить: set skip on lo0 http://www.openbsd.org/faq/pf/filter.html#antispoof
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	6. "PF - не пропускает пакеты на localhost"
	Сообщение от kosm (ok) on 13-Фев-06, 14:30
	>>Всем доброго времени суток. >>Подскажите плиз, в чем может быть трабла, вроде в правилах все разрешено >>с lo0 интерфейса: >>-- >>block log-all all >>pass quick on lo0 all >>antispoof for $ext_if inet >>-- >>Но при попытке законектиться к локальному RSH серверу - тишина. В логах >>присутствуют такие записи (хотя log-all сделан только на deny): >>-- >>Feb 8 15:55:00 firewall pf: 000020 rule 2/3(short): pass out on lo0: IP 127.0.0.1.514 > 127.0.0.1.742: . ack 16 win 65535 <nop,nop,timestamp 370068103 370068077> >>Feb 8 15:55:00 firewall pf: 000021 rule 2/3(short): pass out on lo0: IP 127.0.0.1.514 > 127.0.0.1.742: P 0:1(1) ack 16 win 65535 <nop,nop,timestamp 370068103 370068077> >>-- >>В чем трабла может быть, дайте идею плиз. Спасибо. >Перед строкой: >antispoof for $ext_if inet >надо добавить: >set skip on lo0 >http://www.openbsd.org/faq/pf/filter.html#antispoof Спасибо за наводку, но говорит что нет такой опции. PF собирал на фре 5.3
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	7. "PF - не пропускает пакеты на localhost"
	Сообщение от Андрей Кочетков on 14-Фев-06, 08:24
	>>>Всем доброго времени суток. >>>Подскажите плиз, в чем может быть трабла, вроде в правилах все разрешено >>>с lo0 интерфейса: >>>-- >>>block log-all all >>>pass quick on lo0 all >>>antispoof for $ext_if inet >>>-- >>>Но при попытке законектиться к локальному RSH серверу - тишина. В логах >>>присутствуют такие записи (хотя log-all сделан только на deny): >>>-- >>>Feb 8 15:55:00 firewall pf: 000020 rule 2/3(short): pass out on lo0: IP 127.0.0.1.514 > 127.0.0.1.742: . ack 16 win 65535 <nop,nop,timestamp 370068103 370068077> >>>Feb 8 15:55:00 firewall pf: 000021 rule 2/3(short): pass out on lo0: IP 127.0.0.1.514 > 127.0.0.1.742: P 0:1(1) ack 16 win 65535 <nop,nop,timestamp 370068103 370068077> >>>-- >>>В чем трабла может быть, дайте идею плиз. Спасибо. >>Перед строкой: >>antispoof for $ext_if inet >>надо добавить: >>set skip on lo0 >>http://www.openbsd.org/faq/pf/filter.html#antispoof > >Спасибо за наводку, но говорит что нет такой опции. PF собирал на >фре 5.3 Погляди в списке рассылки freebsd-pf@freebsd.org, там точно было такое-же. Есть подозрение, что хочешь законнектиться к считалке трафа? Мне помогло. Ответ давал сам MAX LAIER. Удачи.
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]