PF - не пропускает пакеты на localhost, kosm, 08-Фев-06, 16:08 [смотреть все]Всем доброго времени суток. Подскажите плиз, в чем может быть трабла, вроде в правилах все разрешено с lo0 интерфейса: -- block log-all all pass quick on lo0 all antispoof for $ext_if inet -- Но при попытке законектиться к локальному RSH серверу - тишина. В логах присутствуют такие записи (хотя log-all сделан только на deny): -- Feb 8 15:55:00 firewall pf: 000020 rule 2/3(short): pass out on lo0: IP 127.0.0.1.514 > 127.0.0.1.742: . ack 16 win 65535 <nop,nop,timestamp 370068103 370068077> Feb 8 15:55:00 firewall pf: 000021 rule 2/3(short): pass out on lo0: IP 127.0.0.1.514 > 127.0.0.1.742: P 0:1(1) ack 16 win 65535 <nop,nop,timestamp 370068103 370068077> -- В чем трабла может быть, дайте идею плиз. Спасибо. |
- PF - не пропускает пакеты на localhost, billy, 13:55 , 10-Фев-06 (1)
А не может быть так, что первое правило - block - не пускает больше вообще ничего? Т.е. любой пакетудовлетворяет правилу №1 и блокируется. Говорю по аналогии c ipfw, с PF дела не имел.
- PF - не пропускает пакеты на localhost, kosm, 15:30 , 10-Фев-06 (2)
>А не может быть так, что первое правило - block - не >пускает больше вообще ничего? Т.е. любой пакетудовлетворяет правилу №1 и блокируется. >Говорю по аналогии c ipfw, с PF дела не имел. Не, у PF если надо чтобы обработка прекратилась на правиле ключевое слово quick добавлять, а тут его нет - обработка должна далее проходить. Вообще странное дело - не люблю когда не понятное что-то происходит :(
- PF - не пропускает пакеты на localhost, billy, 15:51 , 10-Фев-06 (3)
>Не, у PF если надо чтобы обработка прекратилась на правиле ключевое слово >quick добавлять, а тут его нет - обработка должна далее проходить. Забавно. Раз на первом правиле ничего не отбрасывается, то зачем оно?>Вообще странное дело - не люблю когда не понятное что-то происходит >:( Полностью согласен. Сам чудес не люблю.
- PF - не пропускает пакеты на localhost, kosm, 13:14 , 11-Фев-06 (4)
>>Не, у PF если надо чтобы обработка прекратилась на правиле ключевое слово >>quick добавлять, а тут его нет - обработка должна далее проходить. >Забавно. Раз на первом правиле ничего не отбрасывается, то зачем оно? Это специфика работы PF - идет только пометка на DENY и если далее не будет явного разрешения на пакет, то будет такому пакету DENY.
- PF - не пропускает пакеты на localhost, idle, 21:20 , 12-Фев-06 (5)
>Всем доброго времени суток. >Подскажите плиз, в чем может быть трабла, вроде в правилах все разрешено >с lo0 интерфейса: >-- >block log-all all >pass quick on lo0 all >antispoof for $ext_if inet >-- >Но при попытке законектиться к локальному RSH серверу - тишина. В логах >присутствуют такие записи (хотя log-all сделан только на deny): >-- >Feb 8 15:55:00 firewall pf: 000020 rule 2/3(short): pass out on lo0: IP 127.0.0.1.514 > 127.0.0.1.742: . ack 16 win 65535 <nop,nop,timestamp 370068103 370068077> >Feb 8 15:55:00 firewall pf: 000021 rule 2/3(short): pass out on lo0: IP 127.0.0.1.514 > 127.0.0.1.742: P 0:1(1) ack 16 win 65535 <nop,nop,timestamp 370068103 370068077> >-- >В чем трабла может быть, дайте идею плиз. Спасибо. Перед строкой: antispoof for $ext_if inet надо добавить: set skip on lo0 http://www.openbsd.org/faq/pf/filter.html#antispoof
- PF - не пропускает пакеты на localhost, kosm, 14:30 , 13-Фев-06 (6)
>>Всем доброго времени суток. >>Подскажите плиз, в чем может быть трабла, вроде в правилах все разрешено >>с lo0 интерфейса: >>-- >>block log-all all >>pass quick on lo0 all >>antispoof for $ext_if inet >>-- >>Но при попытке законектиться к локальному RSH серверу - тишина. В логах >>присутствуют такие записи (хотя log-all сделан только на deny): >>-- >>Feb 8 15:55:00 firewall pf: 000020 rule 2/3(short): pass out on lo0: IP 127.0.0.1.514 > 127.0.0.1.742: . ack 16 win 65535 <nop,nop,timestamp 370068103 370068077> >>Feb 8 15:55:00 firewall pf: 000021 rule 2/3(short): pass out on lo0: IP 127.0.0.1.514 > 127.0.0.1.742: P 0:1(1) ack 16 win 65535 <nop,nop,timestamp 370068103 370068077> >>-- >>В чем трабла может быть, дайте идею плиз. Спасибо. >Перед строкой: >antispoof for $ext_if inet >надо добавить: >set skip on lo0 >http://www.openbsd.org/faq/pf/filter.html#antispoof Спасибо за наводку, но говорит что нет такой опции. PF собирал на фре 5.3
- PF - не пропускает пакеты на localhost, Андрей Кочетков, 08:24 , 14-Фев-06 (7)
>>>Всем доброго времени суток. >>>Подскажите плиз, в чем может быть трабла, вроде в правилах все разрешено >>>с lo0 интерфейса: >>>-- >>>block log-all all >>>pass quick on lo0 all >>>antispoof for $ext_if inet >>>-- >>>Но при попытке законектиться к локальному RSH серверу - тишина. В логах >>>присутствуют такие записи (хотя log-all сделан только на deny): >>>-- >>>Feb 8 15:55:00 firewall pf: 000020 rule 2/3(short): pass out on lo0: IP 127.0.0.1.514 > 127.0.0.1.742: . ack 16 win 65535 <nop,nop,timestamp 370068103 370068077> >>>Feb 8 15:55:00 firewall pf: 000021 rule 2/3(short): pass out on lo0: IP 127.0.0.1.514 > 127.0.0.1.742: P 0:1(1) ack 16 win 65535 <nop,nop,timestamp 370068103 370068077> >>>-- >>>В чем трабла может быть, дайте идею плиз. Спасибо. >>Перед строкой: >>antispoof for $ext_if inet >>надо добавить: >>set skip on lo0 >>http://www.openbsd.org/faq/pf/filter.html#antispoof > >Спасибо за наводку, но говорит что нет такой опции. PF собирал на >фре 5.3 Погляди в списке рассылки freebsd-pf@freebsd.org, там точно было такое-же. Есть подозрение, что хочешь законнектиться к считалке трафа? Мне помогло. Ответ давал сам MAX LAIER. Удачи.
|