И снова PF. Не работают правила после block in all.
Добавлено: 2017-04-24 22:01:17
На серваке ip адрес интерфейса внутренней сетевухи используемой для внутренней сети = 172.22.22.1. Так же на том же серваке стоит апач и соответственно случает порты 80 и 443. Проблема заключает в том, что при обращеннии с того самого же сервера, на свой же ip адрес присвоенный одной из сетевух - порты 80 и 443 являются filtered (по терминологии Nmap). Проблема решается, если убрать правило block in all в packet filter'e.
Привожу логи работы:
Список моих правил PF'a без правила block in all:
Провожу сканирование порта nmap'om:
Порт открыт, все ок.
Вывод ifconfig интерфейса которому присвоен ip 172.22.22.1:
Далее, меняем правила на правильные - добавляем block in all перед разрешающими правилами:
Сканируем ещё раз нмапом 443 порт:
Куда копать, как дебажить, почему так происходит... Подскажите, коллеги.
Привожу логи работы:
Список моих правил PF'a без правила block in all:
Код: Выделить всё
root@serv:/home/adm # pfctl -s rules
scrub in all fragment reassemble
scrub out all random-id fragment reassemble
scrub on tun0 all max-mss 1450 fragment reassemble
scrub on tun5 all max-mss 1450 fragment reassemble
scrub on tun8 all max-mss 1450 fragment reassemble
pass inet from 172.22.22.0/24 to any flags S/SA keep state
pass on tun8 inet from 10.8.11.0/24 to any flags S/SA keep state
pass in all flags S/SA keep state
pass out all flags S/SA keep state
pass quick from any to <blockedip> flags S/SA keep state rtable 1
pass proto tcp from any to any port = http flags S/SA keep state
pass proto tcp from any to any port = https flags S/SA keep state
pass proto tcp from any to any port = 31322 flags S/SA keep state
pass on tun8 inet proto icmp all icmp-type echoreq keep state
pass on tun8 proto udp from any to any port 33433 >< 33626 keep state
Код: Выделить всё
root@serv:/home/adm # nmap -sT -p 443 -n -Pn -sV --script http-title 172.22.22.1
Starting Nmap 7.40 ( https://nmap.org ) at 2017-04-25 00:46 +07
Nmap scan report for 172.22.22.1
Host is up (0.00011s latency).
PORT STATE SERVICE VERSION
443/tcp open ssl/https Apache/2.4.25 (FreeBSD) OpenSSL/1.0.1s-freebsd PHP/5.6.30
|_http-server-header: Apache/2.4.25 (FreeBSD) OpenSSL/1.0.1s-freebsd PHP/5.6.30
|_http-title: Site doesn't have a title (text/html).
Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 6.48 seconds
Вывод ifconfig интерфейса которому присвоен ip 172.22.22.1:
Код: Выделить всё
root@serv:/home/adm # ifconfig em0
em0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
description: IntNet
options=4219b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,TSO4,WOL_MAGIC,VLAN_HWTSO>
ether 00:1b:21:53:7c:f8
inet 172.22.22.1 netmask 0xffffff00 broadcast 172.22.22.255
nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
media: Ethernet autoselect (1000baseT <full-duplex>)
status: active
Код: Выделить всё
root@serv:/home/adm # pfctl -s rules
scrub in all fragment reassemble
scrub out all random-id fragment reassemble
scrub on tun0 all max-mss 1450 fragment reassemble
scrub on tun5 all max-mss 1450 fragment reassemble
scrub on tun8 all max-mss 1450 fragment reassemble
block return in log all
pass inet from 172.22.22.0/24 to any flags S/SA keep state
pass on tun8 inet from 10.8.11.0/24 to any flags S/SA keep state
pass in all flags S/SA keep state
pass out all flags S/SA keep state
pass quick from any to <blockedip> flags S/SA keep state rtable 1
pass proto tcp from any to any port = http flags S/SA keep state
pass proto tcp from any to any port = https flags S/SA keep state
pass proto tcp from any to any port = 31322 flags S/SA keep state
pass on tun8 inet proto icmp all icmp-type echoreq keep state
pass on tun8 proto udp from any to any port 33433 >< 33626 keep state
Код: Выделить всё
root@serv:/home/adm # nmap -sT -p 443 -n -Pn -sV --script http-title 172.22.22.1
Starting Nmap 7.40 ( https://nmap.org ) at 2017-04-25 00:48 +07
Nmap scan report for 172.22.22.1
Host is up.
PORT STATE SERVICE VERSION
443/tcp filtered https
Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 2.48 seconds