PF - перестали работать правила
Добавлено: 2013-03-28 5:39:42
Ситуация такая - после смены провайдера ВНЕЗАПНО перестали работать некоторые правила в PF, которые касаются работы IPSEC-канала между двумя офисами в двух городах. Этот же самый конфиг работал нормально два года до вчерашнего дня.
Выдержка из pfctl -sr (звездочкой пометил правило, которое игнорируется)
В логах же видно, что пакеты, идущие через gif0 в мою сторону отбрасываются:
С чем бы это могло быть связано?
Выдержка из pfctl -sr (звездочкой пометил правило, которое игнорируется)
Код: Выделить всё
scrub in all no-df fragment reassemble
block drop all
pass in inet proto icmp all icmp-type echoreq keep state
pass in quick proto esp all keep state
pass in quick proto ah all keep state
pass in quick proto ipencap all keep state
pass in quick proto udp from any port = isakmp to any port = isakmp keep state
* pass in quick on gif0 all flags S/SA keep state
pass out quick proto esp all keep state
pass out quick proto ah all keep state
pass out quick proto ipencap all keep state
pass out quick proto udp from any port = isakmp to any port = isakmp keep state
* pass out quick on gif0 all flags S/SA keep stateКод: Выделить всё
00:00:00.061421 rule 0..16777216/0(match): block in on gif0: 192.168.11.2.135 > 192.168.10.2.1298: Flags [S.], seq 2978799953, ack 2728321495, win 16384, options [mss 1460,nop,nop,sackOK], length 0