BSDPORTAL.RU
http://www.bsdportal.ru/

pf НЕ блокирует udp
http://www.bsdportal.ru/viewtopic.php?f=23&t=28137
Страница 1 из 1

Автор:  BadBarmaley [ Пт 02 дек, 2016 5:22 pm ]
Заголовок сообщения:  pf НЕ блокирует udp

Доброго дня! толи лыжи не едут, толи иа... устал...

FreeBSD 10.1-RELEASE-p24

cat /etc/pf.conf
Код:
ext_if="em0"

tcp_services="{ 22 }"
icmp_types="echoreq"

set block-policy return
set loginterface $ext_if

set skip on lo

scrub in

block in
pass out keep state
pass in on $ext_if inet proto tcp from any to ($ext_if) \
   port $tcp_services flags S/SA keep state
pass in inet proto icmp all icmp-type $icmp_types keep state


На сервере установлен FreeSwitch. При таком конфиге фаервола (уже просто из учебника скопировал) udp трафик на порт 5060 всеравно проходит!
ЗЫ: pf ессенно запущен...

Автор:  BadBarmaley [ Вт 06 дек, 2016 11:09 am ]
Заголовок сообщения:  Re: pf НЕ блокирует udp

У всех работает или живых нет? )

Автор:  arachnid [ Вт 06 дек, 2016 6:13 pm ]
Заголовок сообщения:  Re: pf НЕ блокирует udp

как проверяли?

ps. использую ipfw - так что по правилам не подскажу.

Автор:  xemul [ Вт 06 дек, 2016 7:16 pm ]
Заголовок сообщения:  Re: pf НЕ блокирует udp

Предлагаю помедитировать над "pass out keep state" (и не только для UDP).

Автор:  BadBarmaley [ Ср 07 дек, 2016 1:36 am ]
Заголовок сообщения:  Re: pf НЕ блокирует udp

xemul писал(а):
Предлагаю помедитировать над "pass out keep state" (и не только для UDP).


Разобрался. Дело было в keep state...
который есть, хочешь пиши, хочешь не пиши, пофиг он всеравно есть.

Решить вопрос получилось только так:
set timeout { udp.first 0, udp.single 0, udp.multiple 0 }

при этом все работает.

Автор:  GreenDragon [ Ср 07 дек, 2016 11:02 am ]
Заголовок сообщения:  Re: pf НЕ блокирует udp

если не ошибаюсь, "keep state" еще с 7.2 по умолчанию включен.

Страница 1 из 1 Часовой пояс: UTC + 4 часа
Powered by phpBB® Forum Software © phpBB Group
http://www.phpbb.com/