LINUX.ORG.RU

Работа macOS с divert-сокетами

 , , , ,


0

1

Всем привет. Пытаюсь на макоське 10.13.3 заставить работать код из этого примера https://man.openbsd.org/divert.4 Использую дефолтный компилятор Xcode, также пробовал gcc — компилирует все хорошо, однако есть проблема с настройкой файрвола pf:

MacBook:~ Kolya$ sudo -s
bash-3.2# echo "pass out on em0 inet proto tcp to port 80 divert-packet port 700" > /etc/pf.anchors/mytest
bash-3.2# echo "anchor \"mytest\"" >> /etc/pt.conf
bash-3.2# echo "load anchor \"mytest\" from \"/etc/pf.anchors/mytest\"" >> /etc/pf.conf
bash-3.2# sudo pfctl -f /etc/pf.conf
pfctl: Use of -f option, could result in flushing of rules
present in the main ruleset added by the system at startup.
See /etc/pf.conf for further details.

No ALTQ support in kernel
ALTQ related functions disabled
/etc/pf.anchors/mytest:1: syntax error
pfctl: Syntax error in config file: pf rules not loaded
pfctl: load anchors
bash-3.2# 
Почему не работает? Вроде бы делаю все по мануалам. Задал тот же вопрос на StackOverflow https://stackoverflow.com/questions/48540345/how-to-configure-pf-on-macos-to-... , там не ответили... Заранее спасибо за помощь, потому что мануалов по pf, где вообще описано, как работать с этой штукой, я нашел не так много...

Ответ на: комментарий от int13h

А почему не должно? В мануале написано, что так можно перенаправить пакеты в divert.

kolyanok
() автор топика

на макоси в man pf.conf в разделе GRAMMAR не вижу ничего про divert, возможно, версия pf там старая.

Novel ★★★★
()
Ответ на: комментарий от Novel

Похоже, действительно там используется старая версия... Но странно, потому что дебют divert был в OpenBSD 4.7, а в макоси pf появился на год позже (в 2011).

Не понятно, как теперь быть... Раньше можно было так

ipfw add divert ...
но ipfw был удален из OS X начиная с 10.10.

kolyanok
() автор топика

офтоп
ты зачем на 10.13.3 обновил? там же фикс по вулнам проца, -30% производительности... не думаю что на твоем маке есть что то финансово выгодное))

noname_user ★★★
()
Последнее исправление: noname_user (всего исправлений: 1)
Ответ на: комментарий от noname_user

Ну так могут же стырить любые данные: пароли, куки, банковские карточки. Я более чем уверен, что атаки на практике будут уже совсем скоро. Да и лично я не заметил никакого падения производительности. На 30% она падает далеко не для каждой задачи.

kolyanok
() автор топика
Ответ на: комментарий от noname_user

Ну в таком случае это и есть ответ не твой вопрос. Зачем пользоваться заведомо уязвимой к массовой атаке системой? Тем более, проблем с производительностью после апдейта я пока не заметил особо.

kolyanok
() автор топика
Ответ на: комментарий от noname_user

Ну и че? Бенчи не совсем объективная тема. В некоторых задачах производительность просядет значительно, в некоторых вообще не заметно будет. В любом случае, на пользовательском компьютере, где произвольный код выполняется каждый день, это важно. На локальном сервере, где фиксированный набор по и нет возможности исполнения злоумышленником произвольного кода, я бы подумал еще.

kolyanok
() автор топика
Ответ на: комментарий от noname_user

Даже если окажется, что там меньше попугаев (ну да, скорее всего так оно и будет), то что дальше? Я не понимаю смысла. Не ставить апдейт на личном ноутбуке с выходом в интернет и пр., на котором произвольный код в песочнице каждый день крутится — ни разу не безопасно.

Да и вообще это оффтоп в данной теме.

kolyanok
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.