Знатокам PF

0

1

Comrades!

Только начал изучать pf, сразу же столкнулся с непоняткой. Почему не работает блокировка ssh трафика?

ifconfig nfe0

nfe0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=82008<VLAN_MTU,WOL_MAGIC,LINKSTATE>
        ether 00:30:67:82:0c:7b
        inet 192.168.1.221 netmask 0xffffff00 broadcast 192.168.1.255
        nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active

pf.conf

block in quick on nfe0 inet proto tcp from any port ssh
set skip on lo0
pass in all

pfctl -sr -vvv

No ALTQ support in kernel
ALTQ related functions disabled
@0 block drop in quick on nfe0 inet proto tcp from any port = ssh to any
  [ Evaluations: 37        Packets: 0         Bytes: 0           States: 0     ]
  [ Inserted: uid 0 pid 809 State Creations: 0     ]
@1 pass in all flags S/SA keep state
  [ Evaluations: 22        Packets: 56        Bytes: 10175       States: 3     ]
  [ Inserted: uid 0 pid 809 State Creations: 3     ]

т.е. я понимаю, что весь трафик подпадает под последнее правило, но почему, ведь указан параметр quick. В логах пусто.

p.s. Знаю, что пускать по умолчанию весь трафик не есть хорошо, но это только для примера.

Ссылка

←	Тюнинг TCP стека

Помогите с раздачей WiFi

→

Не знаком с pf, но что-то мне подсказывает, что ты блокируешь ссх трафик от себя, а не к себе.

unC0Rr ★★★★★
(16.12.14 00:16:15 MSK)

Ответ на: комментарий от unC0Rr 16.12.14 00:16:15 MSK

Вроде все правильно

direction
The direction the packet is moving on an interface, either in or out.

riso ★
(16.12.14 00:38:16 MSK) автор топика

Ссылка

from any to port ssh

beastie ★★★★★
(16.12.14 00:52:39 MSK)

Ответ на: комментарий от beastie 16.12.14 00:52:39 MSK

да, так работает, спасибо!

riso ★
(16.12.14 22:04:27 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Тюнинг TCP стека

Admin

Помогите с раздачей WiFi

→

Похожие темы