BSDPORTAL.RU

На этом сайте обсуждаются вопросы использования ОС FreeBSD
 Портал  •  Статьи  •  Форум  •  Wiki  •  Поиск  •  FAQ  •  Обои  •   Официальная документация  •  Новые темы 

Часовой пояс: UTC + 4 часа




Начать новую тему Ответить на тему  [ Сообщений: 6 ] 
Автор Сообщение
 Заголовок сообщения: pf НЕ блокирует udp
СообщениеДобавлено: Пт 02 дек, 2016 5:22 pm 
Не в сети

Зарегистрирован: Ср 01 сен, 2004 5:20 pm
Сообщения: 54
Доброго дня! толи лыжи не едут, толи иа... устал...

FreeBSD 10.1-RELEASE-p24

cat /etc/pf.conf
Код:
ext_if="em0"

tcp_services="{ 22 }"
icmp_types="echoreq"

set block-policy return
set loginterface $ext_if

set skip on lo

scrub in

block in
pass out keep state
pass in on $ext_if inet proto tcp from any to ($ext_if) \
   port $tcp_services flags S/SA keep state
pass in inet proto icmp all icmp-type $icmp_types keep state


На сервере установлен FreeSwitch. При таком конфиге фаервола (уже просто из учебника скопировал) udp трафик на порт 5060 всеравно проходит!
ЗЫ: pf ессенно запущен...


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: pf НЕ блокирует udp
СообщениеДобавлено: Вт 06 дек, 2016 11:09 am 
Не в сети

Зарегистрирован: Ср 01 сен, 2004 5:20 pm
Сообщения: 54
У всех работает или живых нет? )


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: pf НЕ блокирует udp
СообщениеДобавлено: Вт 06 дек, 2016 6:13 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Вт 12 апр, 2005 1:14 pm
Сообщения: 106
Откуда: SPb
как проверяли?

ps. использую ipfw - так что по правилам не подскажу.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: pf НЕ блокирует udp
СообщениеДобавлено: Вт 06 дек, 2016 7:16 pm 
Не в сети

Зарегистрирован: Ср 14 окт, 2009 2:26 pm
Сообщения: 581
Предлагаю помедитировать над "pass out keep state" (и не только для UDP).


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: pf НЕ блокирует udp
СообщениеДобавлено: Ср 07 дек, 2016 1:36 am 
Не в сети

Зарегистрирован: Ср 01 сен, 2004 5:20 pm
Сообщения: 54
xemul писал(а):
Предлагаю помедитировать над "pass out keep state" (и не только для UDP).


Разобрался. Дело было в keep state...
который есть, хочешь пиши, хочешь не пиши, пофиг он всеравно есть.

Решить вопрос получилось только так:
set timeout { udp.first 0, udp.single 0, udp.multiple 0 }

при этом все работает.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: pf НЕ блокирует udp
СообщениеДобавлено: Ср 07 дек, 2016 11:02 am 
Не в сети

Зарегистрирован: Вт 25 апр, 2006 5:31 pm
Сообщения: 888
если не ошибаюсь, "keep state" еще с 7.2 по умолчанию включен.


Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 6 ] 

Часовой пояс: UTC + 4 часа


Кто сейчас на конференции

Зарегистрированные пользователи: Bing [Bot], Google [Bot], Google Feedfetcher


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB
Яндекс.Метрика