AK
Я так и хотел
Size: a a a
2019 November 27
АЗ
тогда из bridge0 надо выкинуть iwm0
АЗ
pf.conf очистить от всего и туда примерно такое
АЗ
ext_if = "iwm0"
vmd_if = "vether0"
match in all scrub (no-df random-id)
set reassemble yes
set state-defaults pflow
set block-policy return
set skip on { lo, pflog0, $vmd_if }
set fingerprints "/etc/pf.os"
block log (all) all
pass proto { esp, ah, ipencap, igmp, icmp, ipv6-icmp }
pass in on pppx
pass in to 224.0.0.0/4 allow-opts
pass in to 239.0.0.0/8 allow-opts
# incoming avahi (multicast) traffic
pass proto udp from any to 224.0.0.251 port mdns allow-opts
pass inet6 proto udp from any to ff02::fb port mdns allow-opts
# for SSDP
pass proto udp from any to 239.255.255.250 port ssdp allow-opts
pass inet6 proto udp from any to { ff02::c, ff05::c, ff08::c } port ssdp allow-opts
block return in on ! lo0 proto tcp to port 6000:6010
match out on $ext_if inet from !( $ext_if:network ) nat-to ($ext_if:0)
pass out allow-opts
Правила отлаживать с помощью
tcpdump -n -e -ttt -i pflog0
vmd_if = "vether0"
match in all scrub (no-df random-id)
set reassemble yes
set state-defaults pflow
set block-policy return
set skip on { lo, pflog0, $vmd_if }
set fingerprints "/etc/pf.os"
block log (all) all
pass proto { esp, ah, ipencap, igmp, icmp, ipv6-icmp }
pass in on pppx
pass in to 224.0.0.0/4 allow-opts
pass in to 239.0.0.0/8 allow-opts
# incoming avahi (multicast) traffic
pass proto udp from any to 224.0.0.251 port mdns allow-opts
pass inet6 proto udp from any to ff02::fb port mdns allow-opts
# for SSDP
pass proto udp from any to 239.255.255.250 port ssdp allow-opts
pass inet6 proto udp from any to { ff02::c, ff05::c, ff08::c } port ssdp allow-opts
block return in on ! lo0 proto tcp to port 6000:6010
match out on $ext_if inet from !( $ext_if:network ) nat-to ($ext_if:0)
pass out allow-opts
Правила отлаживать с помощью
tcpdump -n -e -ttt -i pflog0
АЗ
АЗ
Конфа iwm0 без изменений
АЗ
Это так, но для отладки самое то
AK
Ладно, извините. Читаю ман пф
AK
block log (all) all будет блочить всё каждый раз когда оно совпадает с чем-то? С чем ?AK
Выход в интернет с iwm0 есть, спасибо.
2019 November 28
DC
hi all
DC
Кто ставил уже на RaspPi3 опенка?
АЗ
Эмс.. правило block log (all) all обозначает, что оно будет блочить вообще всё. Но не просто втихую, а логировать что заблочено на дефолтный pflog0. Можно сократить до block all при желании
АЗ
При написании правил обязательно следует учитывать вот такой факт "Each time a packet processed by the packet filter comes in on or goes out through an interface, the filter rules are evaluated in sequential order, from first to last. For block and pass, the last matching rule decides what action is taken;"
АЗ
Потому правило блокировки всего должно быть записано первым
АЗ
По той же причине появляется необходимость в конце pass out allow-opts
allow-opts пригодится для всяких IPTV
allow-opts пригодится для всяких IPTV
АЗ
Dr. COD
С учётом как офигенно OpenBSD развивается для платформ отличных от amd64 даже желания не возникло менять Raspbian на что-то другое...
С учётом как офигенно OpenBSD развивается для платформ отличных от amd64 даже желания не возникло менять Raspbian на что-то другое...
DC
Raspbian на SystemD стоит?
АЗ
Да, есть такое... а что в этом плохого?