我正在做一些Web应用程序的可用性testing,并尝试使用mitmproxy作为透明代理来debugging和logging一些SSL会话,由于某种原因,Mac OS X Mountain Lion下的pf没有设置透明redirect。 首先,我启用转发: sudo sysctl -w net.inet.ip.forwarding=1 接下来,我创build一个简单的pf.conf文件,其中包含一行代码: rdr on {en1, en0} inet proto tcp to any port {80, 443} -> 192.168.1.40 port 3128 其中192.168.1.40是当前运行mitmproxy的远程主机, en1和en2是Mac上的主要出站接口。 最后,我用下面的命令启动pf : sudo pfctl -vf pf.conf sudo pfctl -e 但是,没有任何反应。 当我用pfctl -sr列出当前正在运行的pf规则时,它不会显示任何内容。 我已经证实, pf可以在机器上工作,通过给它一个阻止所有出站访问端口80的工作。 任何我需要做什么提示,以启用pfredirect到Mac OS X山狮的透明代理networkingstream量?
有没有办法阻止特定types的数据包大于特定的大小?
我在OpenBSD的pf / altq上遇到了一些麻烦,但是由于我刚刚接触到了这个问题,所以我不确定是不是因为我误解了如何使用锚点,或者系统出了什么问题。 我正在尝试使用pfctl将altq规则添加到锚点,但pfctl在尝试时总是说设备忙。 如果我在pf.conf中使用相同的规则,虽然它工作正常: root@openbsd:~# uname -a OpenBSD openbsd.my.domain 5.2 GENERIC.MP#368 amd64 # —- Show current pf.conf rules —– root@openbsd:~# cat /etc/pf.conf pass out on re0 pass in on re0 anchor tshaping # —- Try to load altq rules into the anchor —– root@openbsd:~# echo -n "altq on re0 cbq bandwidth 10Mb queue { […]
我有一个OpenBSD PF防火墙,我已经添加了一个IPv6隧道(使用HE.net tunnelbroker )。 我可以从防火墙ping / traceroute IPv6地址。 现在我想为我的防火墙后面的服务器提供IPv6服务。 他们都有公共IP地址(我没有使用任何types的NAT)。 所以我希望能够给他们IPv6地址的隧道给路由的IPv6前缀,并有正确的stream量通过OpenBSD上的隧道(gif0接口)的stream量。 其他一些细节。 这基本上是一个透明的防火墙,虽然外部接口确实有一个IP地址进行pipe理。 我需要添加一个IPv6地址到内部接口,以提供路由,或者我可以透明地路由一切通过隧道接口? PF规则对于IPv6stream量来说会是什么样子?它们与正常的IPv4 PF规则有什么不同? 我find了这个页面 ,但是它已经很老了(对于OpenBSD 2.9来说,已经快10年了)。 我正在寻找适合我的情况的更新说明。 编辑 :随着下面接受的答案,我需要添加以下PF规则来获取传入的stream量工作: tunnelserveripv4address="xx.xx.xx.xx" # This is the IPv4 HE.net tunnel endpoint ext_if="em0" pass in proto 41 from $tunnelserveripv4address to $ext_if keep state pass out proto 41 from $ext_if to $tunnelserveripv4address keep state
我现在使用FreeBSD并使用pf + ALTQ。 有些东西不起作用,我需要一个工具来查看哪些请求被标记并移动到队列“queue_name” 需要类似pftop,但显示队列。 谁能帮忙?
这是一个我无法诊断的问题: 我们的用户主目录通过运行Mac OS X 10.5.7的Apple XServe上的NFS提供。 通常他们被导出到我们默认的办公室子网“lan”。 最近我一直在build立一个新的子网,“农场”。 “农场”上的电脑与“lan”上的电脑运行相同的操作系统(openSUSE 11.1和Gentoo),软件版本相同。 问题是,当我的用户在“农场”上使用计算机一段时间(5分钟,有时30分钟,有时一个小时),NFS挂载似乎只是挂起。 尝试在目录上执行ls或尝试访问用户主目录的其他任何内容(例如login等)都会卡住。 从“挂起”机器挂载到其他NFS服务器似乎按预期工作。 客户端或服务器的日志中没有任何内容表示任何问题。 相同types的客户端在默认的“局域网”子网上工作得很好。 我已经尝试了NFS服务器和客户端的各种不同的configuration(禁用/启用kerberos,不同的挂载选项),但没有任何显示有任何区别。 我强烈怀疑这两个子网之间的一些networking级别的问题,可能是一些由防火墙/路由器(使用pf作为数据包filter的OpenBSD)造成的。 两套机器之间的连接相当简单: x serve –> switch –> router –> switch –> clients 对于debugging下一个尝试的方法,或者可能的解决scheme,我几乎不知所措。 关于如何从这个angular度来解决这个问题的任何想法? 更新: 仍然无法解决这个问题。 当我禁止在内部界面上scrub时,我认为我已经把它扼杀在萌芽状态,但是问题又一次显现出来了。 奇怪的是,pf似乎仍然在修改一些数据包。 在vlan 场的一个例子中, 09:17:39.165860 node001.farm.foo.com.769 > barstar.lan.foo.com.nfsd: S 2887472382:2887472382(0) win 5840 <mss 1460,sackOK,timestamp 236992843 0,nop,wscale 6> (DF) 09:17:39.166124 barstar.lan.foo.com.nfsd > node001.farm.foo.com.769: . […]
我处于需要WAN访问的情况下,通过pfSense打开WebConfigurator,因为我没有连接到同一networking的另一个节点从内部访问WebConfigurator。 理想情况下,我只想在shell中执行此操作,并直接将pf的configuration修改为“allow all”,直到我足够长时间才能打开从我的IP到WebConfigurator的WAN访问权限,或者修改config.xml手动添加该规则。 有没有人有任何洞察到如何做到这一点?
将基于策略的路由应用于pfSense内部stream量(源自防火墙本身)的当前正确方法是什么? 创build一个浮动规则与选定的WAN接口,方向OUT和定义的网关不再工作。 我启用了此规则的日志logging,并且显示,即使规则上的网关设置为WAN2,stream量也始终来自WAN1的地址。 WAN1是pfSense的默认网关。
我在运行Server 3.0.2的OSX 10.9系统上使用IceFloor设置了pf。 似乎一切都好,除了我不能使用本地主机的DNS名称或公共IP连接到系统。 例如,我可以从互联网连接到http /端口80,但不能使用公共IP从机器本身连接。 从机器到localhost / 127.0.0.1的连接起作用。 这是我得到的日志(xxxx是主机的公共IP): rule 7/0(match): block in on en0: xxxx80 > xxxx64460: Flags [R.], seq 1, ack 1, win 65535, length 0 这里是规则列表 $ sudo pfctl -s rules [sudo] password for paul: No ALTQ support in kernel ALTQ related functions disabled scrub-anchor "icefloor.nat" all fragment reassemble anchor "icefloor.nat" […]
在OpenBSD防火墙后面有几十台端口转发的服务器。 大多数规则是非常相似的,只有IP或有时在端口转发,所以我想压缩他们删除过多的重复,但我发现,不可能使用rdr-to规则的表 。 有什么办法可以改善这个configuration吗? 可能有select使用pfmacros一次生成多个规则? 目前我无法使用外部预处理器。 示例规则集: pass in on $extif proto tcp from any to 10.0.0.213 port {25,80,443} rdr-to 172.16.1.193 pass in on $intif proto tcp from $intnet to 10.0.0.213 port {25,80,443} rdr-to 172.16.1.193 pass out on $intif proto tcp from any to 172.16.1.193 port {25,80,443} received-on $intif nat-to $intif pass in on $extif […]