D
Size: a a a
2020 January 03
D
мне надо откидвать RST без учета состояния соединения
D
но едрить, no state в конце правила не работает!
D
похоже спать ты сегодня не уйдешь 🙂
DC
Папа тут, папа рядом
DC
Так что мы имеем
DC
Ты хотел блокировать входящий https на свой апач? Правильно?
D
не знаю где вы это нашли, но нет. Я устанавливаю соединение к машине на 443 порт, поединение устанавливается как надо, S/SA/A после этого вмешивается DPI провайдера и шлет мне пакет с подделаным IP и флагом RST моя машина принимает пакет и обрабатывает закрытие соединения, мне надо отбросить этот пакет RST и общатся дальше в рамках установленного соединения. Надеюсь я понятно изложил.
D
Проблема в том что я не знаю как проверить пакет в уже установленном и "проверенном" соединении, no state в конце правила не помогает.
DC
Да
DC
От кого приходит запрос?
D
я правильно понял, если pf разрешает установить соединение, то в рамках этого соединения фильтровать он уже ничего не будет, это так?
DC
Твоя сеть? Может определим ранг подсети откуда обрабатываем соединения а остальных нахер в топку?
DC
Или это глобальное дело?
D
Пожалуйста, прочитайте мое сообщение выше, я там все изложил, как ещепонятнее обьяснить, я не представляю
DC
Откуда этот rst?
D
на сегодня мои силы закончились, почитаю man pf.conf и завтра вернусь к поиску решения, спасибо всем кто принял участие в обсуждении. Надеюсь затра найти решение.
AK
Надо конфу озаглавить как : all you need is man pf.conf