filtro de pacotes bsd no Solaris, por que ping não é permitido?

Navegue suas respostas
0

Eu tenho duas interfaces, uma é net0 com 192.168.0.30 ip o outro é vnic0 com 10.2.0.1 ip

Este é o meu pf.conf, o solaris é 11.4 

ext_if="net0"
int_if="vnic0"
localnet="192.168.0.0/24"
internalnet="10.2.0.0/24"

int_tcp_services = "{www, https}"
int_udp_services = "{domain}"

set skip on lo
set loginterface $ext_if

block return in log all
block out all

antispoof quick for $ext_if

# Block 'rapid-fire brute force attempts
table <bruteforce> persist
block quick from <bruteforce>

#enable icmp for localnet
pass inet proto icmp from $localnet to any keep state
pass inet proto icmp from $internalnet to any keep state
pass inet proto icmp from any to $ext_if keep state
pass inet proto icmp from any to $int_if keep state

# SSH is listening on port 22
pass in quick proto tcp to $ext_if port 22 keep state (max-src-conn 15, max-src-conn-rate 5/3, overload <bruteforce> flush global)

# bind is listening on port 53
pass in quick proto tcp to $int_if port 53 keep state
pass in quick proto udp to $int_if port 53 keep state

# Allow essential outgoing traffic
pass out quick on $ext_if proto tcp to any port $int_tcp_services
pass out quick on $ext_if proto udp to any port $int_udp_services

O ping é aceito para todas as interfaces com firewall desativado Ping é aceito para net0 somente com firewall ativado.

Alguma solução?

    
por elbarna 16.03.2018 / 23:19

2 respostas

0

Solução encontrada, usando este arquivo básico, mas funcionando .conf copiado de aqui e editado 

# Vars
ext_if="net0"
int_if="vnic0"
webports="{443, 80}"

##  make IP reassembly work
set reassemble yes no-df

## ignore loopback traffic
set skip on lo0

# block everything unless told otherwise
# and send TCP-RST/ICMP unreachable
# for every packet which gets blocked
block return in log all
pass out all

# accept incoming SSH connections
pass in proto tcp to $ext_if port 22

# accept webeservers connections
pass in proto tcp to $ext_if port $webports

# accept icmp
pass in proto icmp all

## allow incoming messages from DHCP
pass in inet proto udp from port 67 to port 68
pass in inet6 proto udp from port 547 to port 546

## packet too big - needed for PMTUD
pass in inet6 proto ipv6-icmp icmp6-type 2

## router advertisement
pass in inet6 proto ipv6-icmp icmp6-type 134

## neighbor solicitation
pass in inet6 proto ipv6-icmp icmp6-type 135

## neighbor advertisement
pass in inet6 proto ipv6-icmp icmp6-type 136

## allow all connections initiated from this system,
## including DHCP requests
pass out
    
por 16.03.2018 / 23:28
1

Eu acho que há um erro de digitação em um conjunto de regras que você quer fazer s / set pular no lo / set pular no lo0. Isso deve corrigir o mau comportamento do firewall para pings locais. Observe que todo o tráfego local está vinculado a lo0, embora você esteja investigando endereços limitados para NICs. O antispoof entra em ação para tais pings.

    
por 19.03.2018 / 14:41

Tags

Por que o eclipse abre o emacs? Fedora 27: Não corresponde ao argumento: kernel-devel-4.14.16-300.fc27.x86_64