АВ
В libmsp430 чет чото не собирается надо с флажками поиграться сборки видимо
Size: a a a
2021 June 05
АВ
Но в инетах упоминания видел что народ собирал
AK
Я хочу, только мне нужно будет знать есть ли какие-то крайние сроки и сколько примерно времени я должен на это тратить в день.
АВ
Нет сроков, нужен результат)
2021 June 06
АШ
Не подскажете по настройке pf в версии 6.9 ? В ChangeLog написано, что поменяли формат опции reply-to, теперь не надо задавать имя интерфейса, только IP-шка осталась. Прописываю такое правило
pass in quick on re0 inet proto tcp to port 22 reply-to 192.168.1.1Но пакеты уходят всё равно в шлюз по умолчанию.
АЗ
Данное правило точно является последним? В pf последний предикат является решающим судьбу пакета
АЗ
pf -nvvf /etc/pf.conf ошибок не выдаёт?
АЗ
В pftop пробовали наблюдать как работает правило?
АШ
Так у меня же правило помечено как "quick". По-моему оно должно выполняться сразу по срабатыванию.
АШ
Вот все мои правила:
pass in quick on re0 inet proto tcp to port { 22 } reply-to 192.168.1.1
pass in quick on re0 proto udp to port { 51820 } reply-to 192.168.1.1
pass in quick on re0 proto icmp reply-to 192.168.1.1
pass out quick on re0 inet from { 192.168.5.0/24 } to any nat-to (re0)
pass out quick on re0 from any to any
block in quick on re0АШ
Порт 22 принимает соединения, т.е. правило отрабатывает.
АЗ
Затравочку для начала правил было бы неплохо начинать с
match in all scrub (no-df random-id)
set reassemble yes
set state-defaults pflow
set block-policy return
set loginterface egress
set skip on { lo, pflog0, pflow0, enc0, tap, tun, wg, pppx }
Далее запрещаем всё, но так чтобы что будет резаться сыпалось в pflog:
block log (all) all
Ниже пишем свои правила под отладку
и отлаживаем их в реальном времени
tcpdump -n -e -ttt -i pflog0
match in all scrub (no-df random-id)
set reassemble yes
set state-defaults pflow
set block-policy return
set loginterface egress
set skip on { lo, pflog0, pflow0, enc0, tap, tun, wg, pppx }
Далее запрещаем всё, но так чтобы что будет резаться сыпалось в pflog:
block log (all) all
Ниже пишем свои правила под отладку
и отлаживаем их в реальном времени
tcpdump -n -e -ttt -i pflog0
АЗ
Если сделать как-то иначе то не будет понятно где именно пропадает пакет
АЗ
block log (all) all очень классная конструкция
АЗ
После отладки правила можно переписать уже начисто, если есть такая необходимость
АЗ
quick - да, обрывает обработку сразу по совпадению
АШ
Всё дело в том, что само правило отрабатывает. Только ответ не заворачивается в нужный интерфейс. Т.е. не отрабатывает опция "reply-to"
АЗ
Я не фанат стилистики постоянного употребления quick'а. Правила должны начинаться с полного запрета всего, далее продолжаться общими условиями движения пакета, а завершаться всякими частностями типа редиректов. А заканчиваться разрешением всего на выход:
pass out allow-opts
А что пакет не приходит по нужному адресу как узнаёте? Там tcpdump на дежурство поставили?
pass out allow-opts
А что пакет не приходит по нужному адресу как узнаёте? Там tcpdump на дежурство поставили?
АЗ
А что сделать пытаетесь? Для какой цели icmp скрещивать с reply-to?