Precisa reiniciar o PF no OSX até que ele seja efetivo

Question

Precisa reiniciar o PF no OSX até que ele seja efetivo

1

Alguém aqui está familiarizado com o uso de PF sob OSX? Estou usando o PF para forçar todo o tráfego no meu MacBook a passar por uma VPN. Para fazer isso, estou usando o seguinte pf.conf:

wifi=en0
wifi2=en1
lan1=en2
lan2=en3
lan3=en4
lan4=en5
lan5=en6
#vpn=tun0
vpn=utun0
#vpn2=tap0

set block-policy return
set skip on {lo0,$vpn}

# Scrub all incoming packets.
scrub in all

block in  all
block out all

# Don't allow IPv6 at all. This is sad, but IPredator doesn't support it.
block quick inet6

# Allow DHCP.
# I could probably be more specific than "from any", but didn't find a way to
# specify the link's local network universally. "from $wifi:network" works, but
# "from $ether:network" for example doesn't as long as $ether does not exist.
pass quick on { $wifi $wifi2 $lan1 $lan2 $lan3 $lan4 $lan5 } proto udp from any port 67:68

# Allow DNS 
pass out quick proto udp to any port 53

# Allow iPredator VPN.
# The destination address specification is a bit loose, but I couldn't get a
# complete list of hosts. Only allowing UDP 1194 should be enough to keep
# possible risks to a minimum.
pass quick proto udp to 46.246.32.0/19 port 1194

#Alllo all incoming and outgoind local traffic
pass in on { $wifi $wifi2 $lan1 $lan2 $lan3 $lan4 $lan5 }  proto { tcp, udp, icmp }  from 192.168.1.0/24 to 192.168.1.0/24
pass out on { $wifi $wifi2 $lan1 $lan2 $lan3 $lan4 $lan5 }  proto { tcp, udp, icmp }   from 192.168.1.0/24 to 192.168.1.0/24

Basicamente, o firewall funciona como deveria. No entanto, quando coloco meu MacBook em suspensão e abro novamente, todo o firewall trava. Nenhuma conexão é permitida, mesmo que a conexão VPN ainda esteja ativa. Nesses casos, preciso iniciar o firewall novamente (pfctl -e) e, em seguida, ele funciona novamente. Também acontece frequentemente que a conexão VPN é perdida, o firewall bloqueia todo o tráfego (o que é correto), a VPN é reconectada automaticamente, mas o firewall não percebe isso até que eu reinicie isso.

Alguém aqui experimentou esse tipo de comportamento? Existe algum truque em torno disso? obrigado Norbert

mac-osx pf

por Norbert 19.02.2016 / 11:23

0 respostas

Tags mac-osx pf

Configurando o bootpd para um cliente sem hostname Exportar o catálogo de endereços do outlook 2016