bloqueando pacotes para uma conexão não estabelecida no freebsd pf

2

Para um firewall freebsd pf; Eu quero bloquear pacotes para conexões não estabelecidas. Por exemplo, o invasor não deve enviar pacotes de redefinição para uma conexão desconhecida ainda não estabelecida.

No Linux, é fácil fazer

-d targethost -m state --state NEW -j ACCEPT
-m state --state RELATED,ESTABLISHED -j ACCEPT

Isso permitirá novos estabelecimentos de estados e bloqueará qualquer outra coisa exceto pacotes para o estado estabelecido (ESTABLISHED)

Eu acho que freebsd pf também deveria funcionar assim. O pf tem alguma coisa assim? Você acha que o conjunto de regras abaixo deve permitir redefinir pacotes para uma conexão não estabelecida?

# pfctl -sr -vvv
@0 pass in log (all) quick from <administrators:4> to any flags S/SA synproxy state
  [ Evaluations: 423       Packets: 0         Bytes: 0           States: 4     ]
  [ Inserted: uid 0 pid 25567 State Creations: 4     ]
@1 block drop log (all) quick inet6 all
  [ Evaluations: 419       Packets: 0         Bytes: 0           States: 0     ]
  [ Inserted: uid 0 pid 25567 State Creations: 0     ]
@2 block drop log (all) quick from <blacklist:0> to any
  [ Evaluations: 419       Packets: 0         Bytes: 0           States: 0     ]
  [ Inserted: uid 0 pid 25567 State Creations: 0     ]
@3 pass log (all) quick all flags S/SA keep state
  [ Evaluations: 419       Packets: 103       Bytes: 10941       States: 15    ]
  [ Inserted: uid 0 pid 25567 State Creations: 19    ]

tcpdump -i pflog0 não aceita nada (passa ou bloqueia) aceitando pacotes para Resetar pacotes destinados a um host atrás do firewall.

    
por seaquest 11.01.2013 / 16:25

1 resposta

2

De o OpenBSD pf docs :

All pass rules automatically create a state entry when a packet matches the rule. This can be explicitly disabled by using the no state option.

Então você já está com estado.

E, para esclarecer, o FreeBSD ocasionalmente libera pf do OpenBSD, então a documentação deles se aplica aos principais recursos.

    
por 03.05.2013 / 05:08

Tags