Помогите понять в правилах PF стоит block all, а DHCP не блокируется
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
- проходил мимо
Помогите понять в правилах PF стоит block all, а DHCP не блокируется
Помогите понять в правилах PF стоит block all, а DHCP не блокируется и продолжает раздавать адреса
Мозг пухнет уже.
Мозг пухнет уже.
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
- Alex Keda
- стреляли...
- Сообщения: 35466
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
Помогите понять в правилах PF стоит block all, а DHCP не блокируется
Правила-то покажите....
Убей их всех! Бог потом рассортирует...
-
- проходил мимо
Помогите понять в правилах PF стоит block all, а DHCP не блокируется
правило одно
block all
выставлено ради эксперимента
block all
выставлено ради эксперимента
- wien
- сержант
- Сообщения: 151
- Зарегистрирован: 2014-06-26 18:38:44
- Откуда: DafaultCity
- Контактная информация:
Помогите понять в правилах PF стоит block all, а DHCP не блокируется
DHCP на этой же машине? Покажи ifconfig, uname -a и конфиг dhcp сервера. Других фаерволов, например ipfw не используется?
- Alex Keda
- стреляли...
- Сообщения: 35466
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
Помогите понять в правилах PF стоит block all, а DHCP не блокируется
может вы сделаете то что вас просят, а не будете своими словами нам рассказывать?
ибо возникает логичный вопрос - если сам такой умный - чё ж не работает-то как надо?
покажите правила.
в ipfw это будет
у вас - не знаю, т.к. не юзаю. чёнить типа
ибо возникает логичный вопрос - если сам такой умный - чё ж не работает-то как надо?
покажите правила.
в ipfw это будет
Код: Выделить всё
ipfw show
Код: Выделить всё
pfctl -a '*'
Убей их всех! Бог потом рассортирует...
-
- проходил мимо
Помогите понять в правилах PF стоит block all, а DHCP не блокируется
ifconfig
pfctl -sr
Код: Выделить всё
bge0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=8009b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,LINKSTATE>
ether 00:08:02:96:68:de
inet 192.168.0.200 netmask 0xffffff00 broadcast 192.168.0.255
nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
media: Ethernet autoselect (1000baseT <full-duplex>)
status: active
pflog0: flags=141<UP,RUNNING,PROMISC> metric 0 mtu 33184
pfsync0: flags=0<> metric 0 mtu 1500
syncpeer: 0.0.0.0 maxupd: 128 defer: off
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
options=600003<RXCSUM,TXCSUM,RXCSUM_IPV6,TXCSUM_IPV6>
inet6 ::1 prefixlen 128
inet6 fe80::1%lo0 prefixlen 64 scopeid 0x4
inet 127.0.0.1 netmask 0xff000000
nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
ng0: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> metric 0 mtu 1492
inet 100.71.115.83 --> 100.71.0.1 netmask 0xffffffff
nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
Код: Выделить всё
scrub in all fragment reassemble
scrub out all random-id max-mss 1440 fragment reassemble
block drop in log quick on ! lo inet6 from ::1 to any
block drop in log quick on ! lo inet from 127.0.0.0/8 to any
block drop in log quick on ! ng0 inet from 100.71.115.83 to any
block drop in log quick inet from 100.71.115.83 to any
block drop in log quick inet from 127.0.0.1 to any
block drop in log quick on ! bge0 inet from 192.168.0.0/24 to any
block drop in log quick inet from 192.168.0.200 to any
block drop in log quick inet6 from ::1 to any
block drop in log quick on lo0 inet6 from fe80::1 to any
block drop in quick inet from no-route to any
block drop in quick on ng0 inet from any to 255.255.255.255
block return out quick on ng0 inet from any to <ban>
block drop in quick on bge0 inet from (bge0:network) to 255.255.255.255
block drop all
pass in on bge0 inet proto tcp from (bge0:network) to (bge0) port = domain flags S/SA keep state queue etherq
pass in on bge0 inet proto tcp from (bge0:network) to (bge0) port = 33022 flags S/SA keep state queue etherq
pass in on bge0 inet proto udp from (bge0:network) to (bge0) port = domain keep state queue etherq
pass in on bge0 inet proto udp from (bge0:network) to (bge0) port = ntp keep state queue etherq
pass out on bge0 inet proto tcp from (bge0) port = domain to (bge0:network) flags S/SA keep state queue etherq
pass out on bge0 inet proto tcp from (bge0) port = 33022 to (bge0:network) flags S/SA keep state queue etherq
pass out on bge0 inet proto udp from (bge0) port = domain to (bge0:network) keep state queue etherq
pass out on bge0 inet proto udp from (bge0) port = ntp to (bge0:network) keep state queue etherq
pass in log on bge0 inet proto icmp from (bge0:network) to ! (self:network) icmp-type echoreq keep state queue d_other tag INET_OTHER
pass in log on bge0 inet proto icmp from (bge0:network) to ! (self:network) icmp-type unreach keep state queue d_other tag INET_OTHER
pass in log quick on bge0 inet from <pc_hipri> to ! (self:network) flags S/SA modulate state queue(d_hipri, d_ack) tag INET_HIPRI
pass in log quick on bge0 inet from <pc_pri> to ! (self:network) flags S/SA modulate state queue(d_pri, d_ack) tag INET_PRI
pass in log quick on bge0 inet from <pc_other> to ! (self:network) flags S/SA modulate state queue(d_other, d_ack) tag INET_OTHER
pass in quick on ng0 inet proto tcp from any to (ng0) port = 33022 flags S/SA keep state (source-track rule, max-src-conn-rate 3/60, overload <ban> flush global, src.track 60) queue(ssh_login, ssh_data)
pass out quick on ng0 inet from (ng0) to any flags S/SA modulate state queue(u_hipri, u_ack) tagged INET_HIPRI
pass out quick on ng0 inet from (ng0) to any flags S/SA modulate state queue(u_pri, u_ack) tagged INET_PRI
pass out quick on ng0 inet from (ng0) to any flags S/SA modulate state queue(u_other, u_ack) tagged INET_OTHER
pass out quick on ng0 inet proto icmp from (ng0) to any icmp-type echoreq keep state queue u_other
pass out quick on ng0 inet proto icmp from (ng0) to any icmp-type unreach keep state queue u_other
pass out quick on ng0 inet proto tcp from (ng0) to any port = domain flags S/SA modulate state queue(u_dns, u_ack)
pass out quick on ng0 inet proto udp from (ng0) to any port = domain keep state queue u_dns
pass out quick on ng0 inet from (ng0) to any flags S/SA keep state queue(u_pri, u_ack)
-
- проходил мимо
Помогите понять в правилах PF стоит block all, а DHCP не блокируется
приходится писать от гостя так-как не присылает письмо подтверждения регистрации
- wien
- сержант
- Сообщения: 151
- Зарегистрирован: 2014-06-26 18:38:44
- Откуда: DafaultCity
- Контактная информация:
Помогите понять в правилах PF стоит block all, а DHCP не блокируется
Добавьте такие строки:
где int_if твоя сетевуха, смотрящая в локалку. Не уверен насчет синтаксиса, мог и накосячить, смысл думаю ясен.
Вообще не мешало бы при помощи tcpdump послушать интерфейс.
Код: Выделить всё
block in quick on $int_if proto udp from any to $int_if:broadcast port 67
block in quick on $int_if proto udp from any to ($int_if) port 67
Вообще не мешало бы при помощи tcpdump послушать интерфейс.
-
- проходил мимо
Помогите понять в правилах PF стоит block all, а DHCP не блокируется
Если речь о dhcp и firewall на одной машине, причина в работе DHCP через bpf.
-
- проходил мимо
Помогите понять в правилах PF стоит block all, а DHCP не блокируется
Да DHCP и Pf находятся на одной машине. Я так понял приоритет правил bpf выше на порядок чем PfЕсли речь о dhcp и firewall на одной машине, причина в работе DHCP через bpf.
поэтому и не блокируется. Спасибо за совет.