клиент сидит за чистым натом.
Вот конфиг pf:
/etc/pf/>
catl pf.conf
Код: Выделить всё
LAN="vr0" # NEW ifconfig_vr1="inet 192.168.0.1 netmask 255.255.255.0"
NET="re0" # NEW ifconfig_re0="inet 62.216.xxx.xxx netmask 255.255.255.252"
LO="lo0" # OLD localhost
set skip on $LO
scrub in all
scrub on $NET max-mss 400
nat on $NET from $LAN:network to any -> $NET
antispoof log quick for {$LO , $LAN , $NET}
pass out quick on $LAN
pass out quick on $LO
pass out quick on $NET
block in log quick on $NET proto tcp from <ssh-brut> to $NET port ssh
pass in quick on $LO # ALLOW EVERUTHING ON LOOPBACK
block in on $NET
pass in on $NET proto icmp from any to $NET
pass in quick on $NET proto tcp from any to $NET port {22,25,53,80,90,91,110,143,443,993,995}
pass in quick on $NET proto tcp from 193.109.xxx.xxx to $NET port 3128
pass log proto tcp from any to any port {90,91,443} keep state
pass in quick on $LAN
Выставлял в разные значения scrub on $NET max-mss, по логам tcpdump сам параметр tcp mss меняется на мною выставленный, но эффекта нет.
Вот дамп сессии:
Код: Выделить всё
62.216.xxx.xxx.60245 > fortuna.kiev.farlep.net.https: Flags [S], cksum 0xc184 (correct), seq 1293147795, win 65535, options [mss 1080,nop,wscale 3,sackOK,TS val 392070977 ecr 0], length 0
08:55:03.315931 IP (tos 0xc, ttl 250, id 17810, offset 0, flags [none], proto TCP (6), length 40)
fortuna.kiev.farlep.net.https > 62.216.xxx.xxx.60245: Flags [R.], cksum 0xc673 (correct), seq 0, ack 1293147796, win 0, length 0
Задампил сессию на другой сервер с https:
Код: Выделить всё
62.216.xxx.xxx.27838 > xxxx.vds.colocall.com.https: Flags [S], cksum 0xea32 (correct), seq 1753704004, win 65535, options [mss 1080,nop,wscale 3,sackOK,TS val 392258627 ecr 0], length 0
08:58:11.059626 IP (tos 0x0, ttl 61, id 44790, offset 0, flags [DF], proto TCP (6), length 60)
xxxx.vds.colocall.com.https > 62.216.xxx.xxx.27838: Flags [S.], cksum 0x742b (correct), seq 946332740, ack 1753704005, win 32768, options [mss 1080,nop,wscale 3,sackOK,TS val 328648115 ecr 392258627], length 0
08:58:11.059660 IP (tos 0x0, ttl 64, id 25745, offset 0, flags [DF], proto TCP (6), length 52, bad cksum 0 (->2fcf)!)
Не понятно почему он сбрасывает соединение. ( Flags [R.])
"Воистину всегда там, где недостает разумных доводов, там их заменяет крик" (с) ЛЕОНАРДО Да ВИНЧИ