这是我目前在FreeBSD 11.1-RELEASE上的pf.conf 。 它允许来自OpenVPN / UDP和SSH的传入连接,并允许private / vpnnetworking上的所有内容(分别为vtnet1和tun0 )。 麻烦的是,我无法通过ipv6连接到OpenVPN或SSH。 如果我观察openvpn日志或在SSH上使用-v ,则会看到IPv6地址超时,然后下降到IPv4。 block all # allow all from host itself pass out inet all keep state pass out inet6 all keep state # allow all from private pass in quick on vtnet1 inet from any to any keep state # openvpn pass in quick proto […]
我使用的是FreeBSD 7.1,在我的服务器上有两个不同的jail。 一个用于数据库,另一个用于游戏服务器。 我需要知道的是,如果有可能将游戏服务器的监狱分配给公共IP,所以我不需要转发我需要的每个端口? 目前我正在使用PF(包filter)为jail制作NAT,并将端口转发到我在游戏服务器监狱中运行的各种服务。 问题在于PF似乎正在做一些令人讨厌的事情,我将数据包redirect到游戏监狱,玩家可以login,但是他们什么都不能做(游戏服务器在less数几个服务器中分开 – 每个处理游戏中不同的地图)。 我试图在虚拟化的FreeBSD上运行游戏服务器,一切正常。 我的家用机器和服务器上操作系统的唯一区别就是Packet Filter。 所以我想在没有PF的情况下testing服务器上的所有内容,但是因为游戏服务器在监狱里运行是不可能的,所以在没有NAT和端口redirect的情况下,这是不可行的。 在#freebsd(freenode)有些人告诉我,实际上有可能让我的监狱与主机系统“共享”公共IP,没有端口转发。 问题是:是吗? 如果是的话,怎么样? 感谢您的回应!
首先:请原谅我对英语的不良使用。 几年来,我遇到了“全面磨合(no-df)”规则的问题。 我找不到这里发生了什么事。 我会尽量清楚和简单。 这个论坛张贴pf.conf已经非常缩短了。 这是我的pf.conf: set skip on lo0 match in all scrub (no-df) block all block in quick from urpf-failed pass in on em0 proto tcp from any to 213.125.xxx.xxx port 80 synproxy state pass in on em0 proto tcp from any to 213.125.xxx.xxx port 443 synproxy state pass out on em0 from […]
对于freebsd pf防火墙; 我希望它阻止未build立连接的数据包。 例如,攻击者不应该发送重置数据包为一个未知的尚未build立的连接。 在Linux中很容易做到 -d targethost -m state –state NEW -j ACCEPT -m state –state RELATED,ESTABLISHED -j ACCEPT 这将允许新的州build立,并阻止除了已build立状态的数据包(ESTABLISHED)以外的任何其他事物 我认为freebsd pf也应该像这样工作。 pf有这样的吗? 你认为下面的规则集应该允许重置数据包为一个未build立的连接? # pfctl -sr -vvv @0 pass in log (all) quick from <administrators:4> to any flags S/SA synproxy state [ Evaluations: 423 Packets: 0 Bytes: 0 States: 4 ] [ Inserted: uid […]
我想要testing一个移动应用程序。 为此,我想拦截所有WiFistream量并将其转发到在虚拟机中运行的Burp。 我启用了我的Macbook上的“互联网共享”,所以我的手机现在使用WiFi连接到笔记本电脑。 然后我想转发所有stream量到172.16.122.128:8080的Burp代理。 redirect到本地主机作品: rdr pass on bridge100 inet proto tcp from any to any port {80,443} -> 127.0.0.1 port 8080 我把这个规则放在一个文件中,并用pfctl -f pf.rules 。 之后,我使用nc -l -p 8080在端口8080上列出,当我在手机上浏览某处时,它实际上连接到本地主机。 但是,当我尝试转发到172.16.122.128,它不起作用: rdr pass on bridge100 inet proto tcp from any to any port {80,443} -> 172.16.122.128 port 8080 数据包最终在虚拟机(使用Wiresharktesting),但没有连接。 这可能是因为它们起源于192.168.2.3。 我需要NAT吗? 我如何正确configuration? 我画了一张我的networking布局图。 (虚拟机实际上在我的笔记本电脑上运行,但我在这里单独绘制)。
当然,我正在创build一个基于OpenBSD 6.0 pf的网关。 根据我在pf手册页和OpenBSD pf FAQ中读到的内容以及互联网上的一些示例,我能够configuration防火墙。 但是我不确定我是否正确: ## Macros wan="WAN interface" wan_ip="WAN IP address" lan="LAN interface" lan_ip="LAN IP address" lan_nw="LAN network address with subnetmask" man="management interface" man_ip="management ip address" lo="lo0" ## TABLES table <spammers> persist file "/etc/spammers.txt" ## OPTIONS set block-policy drop # debug lvl: none – urgent – misc – loud set debug none […]
我遇到了一个让我颇为头痛的问题,并find了解决办法,但我不明白为什么这个问题首先发生。 我有一个nginx反向代理,它将请求路由到3台服务器中的一台。 所有的节点服务器,其中两个是明确的,一个是定制的。 问题是: 当我的防火墙启动时 ,两个快速服务器总运行时间中的第一个请求遭受504:网关超时 。 发生这种情况后,即使在多天的过程中,这些文件也可以很快得到处理。 我能够把问题缩小到防火墙,注意到当我彻底closures防火墙时问题就消失了。 我的服务器运行FreeBSD,使用PF作为防火墙。 这里是相关的pf.conf: iface = "vtnet0" loopback = "lo0" public_ip = "132.148.77.28/32" localnet = "127.0.0.1" nat on $iface from any to any -> $public_ip # added by cloud server provider pass out quick on $iface proto { tcp udp } from port ntp keep state block log […]
正在使用Free / Open BSD + pf可行选项来过滤DDoS? 哪两个在重负荷下performance更好? (SYN洪水最大1Gb的pipe道) 这甚至是一个可以考虑的select,还是需要一个完整的硬件DDoSfilter才能获得足够快的性能?
我打破了我的大脑处理这个问题。 鱿鱼是从启用了PF_TP的ports / usr / ports / www / squid32上构build的。 我有互联网,但奇怪的是它绕过鱿鱼。 显然,鱿鱼日志是空的。 我不知道什么是错的。 configuration似乎没问题。 这是我的SQUIDconfiguration 1 # Squid normally listens to port 8080 2 http_port 127.0.0.1:8080 intercept 3 #http_port 8080 4 5 # Squid hostname 6 visible_hostname hqproxy.nis.edu.kz 7 cache_mgr [email protected] 8 9 cache_dir ufs /squid 20000 64 128 10 coredump_dir /var/squid/cache/squid 11 cache_mem 8 […]
我试图redirect到内部networking的数据包到本地主机的防火墙。 我写了这个规则,但是不起作用。 int_net = "{10.0.0.0/24}" ext_if = "{igb0}" int_if = "{igb1}" rdr on $ext_if proto tcp from any to $int_net port www -> 127.0.0.1 port 9999 当我在浏览器上编写10.0.0.2时,它应该从防火墙得到一个testing页面。 但是就我不能那样做而言。 我在这里错过了什么?