Para um firewall freebsd pf; Eu quero bloquear pacotes para conexões não estabelecidas. Por exemplo, o invasor não deve enviar pacotes de redefinição para uma conexão desconhecida ainda não estabelecida.
No Linux, é fácil fazer
-d targethost -m state --state NEW -j ACCEPT
-m state --state RELATED,ESTABLISHED -j ACCEPT
Isso permitirá novos estabelecimentos de estados e bloqueará qualquer outra coisa exceto pacotes para o estado estabelecido (ESTABLISHED)
Eu acho que freebsd pf também deveria funcionar assim. O pf tem alguma coisa assim? Você acha que o conjunto de regras abaixo deve permitir redefinir pacotes para uma conexão não estabelecida?
# pfctl -sr -vvv
@0 pass in log (all) quick from <administrators:4> to any flags S/SA synproxy state
[ Evaluations: 423 Packets: 0 Bytes: 0 States: 4 ]
[ Inserted: uid 0 pid 25567 State Creations: 4 ]
@1 block drop log (all) quick inet6 all
[ Evaluations: 419 Packets: 0 Bytes: 0 States: 0 ]
[ Inserted: uid 0 pid 25567 State Creations: 0 ]
@2 block drop log (all) quick from <blacklist:0> to any
[ Evaluations: 419 Packets: 0 Bytes: 0 States: 0 ]
[ Inserted: uid 0 pid 25567 State Creations: 0 ]
@3 pass log (all) quick all flags S/SA keep state
[ Evaluations: 419 Packets: 103 Bytes: 10941 States: 15 ]
[ Inserted: uid 0 pid 25567 State Creations: 19 ]
tcpdump -i pflog0 não aceita nada (passa ou bloqueia) aceitando pacotes para Resetar pacotes destinados a um host atrás do firewall.
De o OpenBSD pf docs :
All pass rules automatically create a state entry when a packet matches the rule. This can be explicitly disabled by using the
no stateoption.
Então você já está com estado.
E, para esclarecer, o FreeBSD ocasionalmente libera pf do OpenBSD, então a documentação deles se aplica aos principais recursos.