BSDPORTAL.RU

На этом сайте обсуждаются вопросы использования ОС FreeBSD
 Портал  •  Статьи  •  Форум  •  Wiki  •  Поиск  •  FAQ  •  Обои  •   Официальная документация  •  Новые темы 

Часовой пояс: UTC + 4 часа




Начать новую тему Ответить на тему  [ Сообщений: 6 ] 
Автор Сообщение
 Заголовок сообщения: pf НЕ блокирует udp
СообщениеДобавлено: Пт 02 дек, 2016 5:22 pm 
Не в сети

Зарегистрирован: Ср 01 сен, 2004 5:20 pm
Сообщения: 54
Доброго дня! толи лыжи не едут, толи иа... устал...

FreeBSD 10.1-RELEASE-p24

cat /etc/pf.conf
Код:
ext_if="em0"

tcp_services="{ 22 }"
icmp_types="echoreq"

set block-policy return
set loginterface $ext_if

set skip on lo

scrub in

block in
pass out keep state
pass in on $ext_if inet proto tcp from any to ($ext_if) \
   port $tcp_services flags S/SA keep state
pass in inet proto icmp all icmp-type $icmp_types keep state


На сервере установлен FreeSwitch. При таком конфиге фаервола (уже просто из учебника скопировал) udp трафик на порт 5060 всеравно проходит!
ЗЫ: pf ессенно запущен...


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: pf НЕ блокирует udp
СообщениеДобавлено: Вт 06 дек, 2016 11:09 am 
Не в сети

Зарегистрирован: Ср 01 сен, 2004 5:20 pm
Сообщения: 54
У всех работает или живых нет? )


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: pf НЕ блокирует udp
СообщениеДобавлено: Вт 06 дек, 2016 6:13 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Вт 12 апр, 2005 1:14 pm
Сообщения: 106
Откуда: SPb
как проверяли?

ps. использую ipfw - так что по правилам не подскажу.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: pf НЕ блокирует udp
СообщениеДобавлено: Вт 06 дек, 2016 7:16 pm 
Не в сети

Зарегистрирован: Ср 14 окт, 2009 2:26 pm
Сообщения: 579
Предлагаю помедитировать над "pass out keep state" (и не только для UDP).


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: pf НЕ блокирует udp
СообщениеДобавлено: Ср 07 дек, 2016 1:36 am 
Не в сети

Зарегистрирован: Ср 01 сен, 2004 5:20 pm
Сообщения: 54
xemul писал(а):
Предлагаю помедитировать над "pass out keep state" (и не только для UDP).


Разобрался. Дело было в keep state...
который есть, хочешь пиши, хочешь не пиши, пофиг он всеравно есть.

Решить вопрос получилось только так:
set timeout { udp.first 0, udp.single 0, udp.multiple 0 }

при этом все работает.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: pf НЕ блокирует udp
СообщениеДобавлено: Ср 07 дек, 2016 11:02 am 
Не в сети

Зарегистрирован: Вт 25 апр, 2006 5:31 pm
Сообщения: 880
если не ошибаюсь, "keep state" еще с 7.2 по умолчанию включен.


Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 6 ] 

Часовой пояс: UTC + 4 часа


Кто сейчас на конференции

Зарегистрированные пользователи: Bing [Bot], Google [Bot], Yahoo [Bot]


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB
Яндекс.Метрика