Acabei de herdar um servidor Mac OS X que está usando o pf. O problema que estou tentando resolver é porque eu não posso pingar fora do servidor. Eu posso pingar para a máquina sem preocupações, mas é só obter timeouts em pingar para fora.
por exemplo,
$ ping 8.8.8.8
PING 8.8.8.8 (8.8.8.8): 56 data bytes
Request timeout for icmp_seq 0
Request timeout for icmp_seq 1
Request timeout for icmp_seq 2
^C
--- 8.8.8.8 ping statistics ---
4 packets transmitted, 0 packets received, 100.0% packet loss
Existe uma configuração pf bem simples, na qual um conjunto de endereços IP "bons" conhecidos é configurado em uma tabela (na verdade, várias tabelas) e eles têm permissão para acessar usando:
pass in from { <my-good-ips1>, <my-good-ips2>, <my-good-ips3> } to any
Estes também são permitidos em:
pass in quick inet proto udp from any port 67 to any port 68
Tudo o mais está bloqueado.
E (mais importante) todo o tráfego é permitido:
pass out proto tcp from any to any keep state
pass out proto udp from any to any keep state
Você acha que eu estou mesmo na marca olhando para pf. Ou eu deveria estar direcionando minhas investigações para outro caminho?
Você está com falta de pass proto icmp .
Geralmente, é uma medida razoável ter sua regra de primeira passagem:
pass quick proto icmp
Caso contrário, você está implicitamente bloqueando esse tráfego. ICMP é o seu próprio protocolo, lembre-se, e não coberto pelo TCP ou UDP. Veja a página do OpenBSD no PF .