Estou recebendo muitas mensagens de aceleração ICMP no meu system.log:
Apr 11 20:45:28 kernel[0]: Limiting icmp unreach response from 1054 to 250 packets per second
Apr 11 20:45:29 kernel[0]: Limiting icmp unreach response from 529 to 250 packets per second
Descobri que o tráfego está vindo de um único host executando sudo tcpdump -ni en0 "icmp[0]=3 and icmp[1]=3"
20:48:32.614241 IP 64.........125 > 185.......98: ICMP 64.......125 udp port 27960 unreachable, length 36
20:48:32.616923 IP 64.......125 > 185.......98: ICMP 64.......125 udp port 27960 unreachable, length 36
Onde 64.......125 é o IP do meu servidor e eu assumo 185.......98 é o solicitante (esse é o único IP visto em milhares de linhas de log)
Eu tentei usar pf para colocar esse IP na lista negra, bloquear o acesso ICMP a essa porta (ou em geral, já que parece que o ICMP não é baseado em porta?) e tentei uma regra personalizada para bloquear:
block drop on en0 inet proto icmp from 64.......125 to 185.......98
block drop on en0 inet proto icmp from 185.......98 to 64.......125
Independentemente de todas as minhas tentativas de pf, ainda vejo a atividade system.log e tcpdump.
Eu interpretei corretamente as linhas tcpdump ? (A direção do carat faz parecer que são apenas pacotes de saída?)
Meu entendimento foi pf bloquear os pacotes de chegarem ao kernel, então se ele fosse configurado corretamente, essas mensagens desapareceriam. Isso está correto?
Se não estiver correto, preciso agir com base nas solicitações ou devo seguir as instruções para anular as linhas de log?
Estou usando o IceFloor para configurar pf no OS X 10.8.5, se for relevante.