Познание PF

classic Classic list List threaded Threaded
5 messages Options
Reply | Threaded
Open this post in threaded view
|

Познание PF

mitrofanzzz
 
Доброго здоровья многоуважаемый all.
Хотел орагнизовать дома простейшую точку доступа, для начала.
И попутно немного разобраться с PF.
Но натолкнулся на странные грабли.
Подскажите в чем моя ошибка.
 
За основу взял http://www.openbsd.ru/docs/wireless.html
 
Ось такова:

# uname -a
OpenBSD ogate.home.net 4.6 GENERIC#58 i386
 
Конфиг pf:

# Используемые макросы
ext_if = "vr0"
wlan_if = "rum0"
 
set require-order no
 
# Не фильтровать на интерфейсе обратной петли
set skip on lo
 
# Выполнить нормализацию входящего трафика
#scrub in on $ext_if fragment reassemble
scrub in on $ext_if all fragment reassemble
 
# Трансляция адресов на внешнем интерфейсе
nat on $ext_if from ! ($ext_if) -> ($ext_if:0)
 
# Блокирование всего входящего трафика
block in
block return-rst in proto tcp
 
# Применить защиту от IP-спуфинга
antispoof quick for $wlan_if
 
# Разрешить исходящие запросы
pass out proto tcp all flags S/SA modulate state
pass out proto { udp icmp } all keep state
 
# Разрешить доступ к ssh из беспроводной сети с ограниченным количеством
# подключений (для того, чтобы попытаться предотвратить попытки взлома
паролей)
pass in on $wlan_if proto tcp to ($wlan_if) port ssh keep state
(max-src-conn 10, max-src-conn-rate 15/5, overload <blocked> flush
global)

Посылает сюда:

pfctl -ef /etc/pf.conf
/etc/pf.conf:13: syntax error
pfctl: Syntax error in config file: pf rules not loaded

По сути 13 строка это "scrub in on $ext_if all fragment reassemble",
скопипастил прямо из манов.

Без этой строчки все робит.
Заранее благодарен.

--
С уважением Сохин Никита Александрович...


Reply | Threaded
Open this post in threaded view
|

Re: Познание PF

Pavel Labushev-3
mitrofanzzz пишет:

> По сути 13 строка это "scrub in on $ext_if all fragment reassemble",
> скопипастил прямо из манов.

В 4.6 изменили scrub: "Removed pf(4) scrub rules, and only do one kind
of packet reassembly. Rulesets with scrub rules need to be modified
because of this."

В манах по 4.6 scrub уже через match:

"For example:
           match in all scrub (no-df max-mss 1440)"


Reply | Threaded
Open this post in threaded view
|

Re: Познание PF

Пальянов Иван Владимирович
In reply to this post by mitrofanzzz
mitrofanzzz пишет:

>  
> Доброго здоровья многоуважаемый all.
> Хотел орагнизовать дома простейшую точку доступа, для начала.
> И попутно немного разобраться с PF.
> Но натолкнулся на странные грабли.
> Подскажите в чем моя ошибка.
>  
> За основу взял http://www.openbsd.ru/docs/wireless.html
>  
> Ось такова:
>
> # uname -a
> OpenBSD ogate.home.net 4.6 GENERIC#58 i386
>  
> Конфиг pf:
>
> # Используемые макросы
> ext_if = "vr0"
> wlan_if = "rum0"
>  
> set require-order no
>  
> # Не фильтровать на интерфейсе обратной петли
> set skip on lo
>  
> # Выполнить нормализацию входящего трафика
> #scrub in on $ext_if fragment reassemble
> scrub in on $ext_if all fragment reassemble
>  
> # Трансляция адресов на внешнем интерфейсе
> nat on $ext_if from ! ($ext_if) -> ($ext_if:0)
>  
> # Блокирование всего входящего трафика
> block in
> block return-rst in proto tcp
>  
> # Применить защиту от IP-спуфинга
> antispoof quick for $wlan_if
>  
> # Разрешить исходящие запросы
> pass out proto tcp all flags S/SA modulate state
> pass out proto { udp icmp } all keep state
>  
> # Разрешить доступ к ssh из беспроводной сети с ограниченным количеством
> # подключений (для того, чтобы попытаться предотвратить попытки взлома
> паролей)
> pass in on $wlan_if proto tcp to ($wlan_if) port ssh keep state
> (max-src-conn 10, max-src-conn-rate 15/5, overload <blocked> flush
> global)
>
> Посылает сюда:
>
> pfctl -ef /etc/pf.conf
> /etc/pf.conf:13: syntax error
> pfctl: Syntax error in config file: pf rules not loaded
>
> По сути 13 строка это "scrub in on $ext_if all fragment reassemble",
> скопипастил прямо из манов.
>
> Без этой строчки все робит.
> Заранее благодарен.
>
> --
> С уважением Сохин Никита Александрович...
>
>
На сколько мне известно с 4.6

Removed pf(4) scrub rules, and only do one kind of packet reassembly.
Rulesets with scrub rules need to be modified because of this.


Максимум что можно "scrub in all" либо и так по дефолту, если я не
ошибаюсь.


Reply | Threaded
Open this post in threaded view
|

Re: Познание PF

mitrofanzzz
In reply to this post by Pavel Labushev-3
Pavel Labushev пишет:

> mitrofanzzz пишет:
>
>  
>> По сути 13 строка это "scrub in on $ext_if all fragment reassemble",
>> скопипастил прямо из манов.
>>    
>
> В 4.6 изменили scrub: "Removed pf(4) scrub rules, and only do one kind
> of packet reassembly. Rulesets with scrub rules need to be modified
> because of this."
>
> В манах по 4.6 scrub уже через match:
>
> "For example:
>            match in all scrub (no-df max-mss 1440)"
>
>
>
>  
OMG ... прошу простить... обнаружил несоответствие манов и оси...
странно, упгрейдился строго по рецептуре

с оф-сайта


Reply | Threaded
Open this post in threaded view
|

Re: Познание PF

Dinar Talypov
On Tue, 24 Nov 2009 09:57:00 +0400
mitrofanzzz <[hidden email]> wrote:

> Pavel Labushev пишет:
> > mitrofanzzz пишет:
> >
> >  
> >> По сути 13 строка это "scrub in on $ext_if all fragment reassemble",
> >> скопипастил прямо из манов.
> >>    
> >
> > В 4.6 изменили scrub: "Removed pf(4) scrub rules, and only do one kind
> > of packet reassembly. Rulesets with scrub rules need to be modified
> > because of this."
> >
> > В манах по 4.6 scrub уже через match:
> >
> > "For example:
> >            match in all scrub (no-df max-mss 1440)"
> >
> >
> >
> >  
> OMG ... прошу простить... обнаружил несоответствие манов и оси...
> странно, упгрейдился строго по рецептуре
>
> с оф-сайта
>
>
>
с новым pf похоже еще будет много несоответствий, не только в 4.6, но и в 4.7