Início / unix / Perguntas / 722232
Accepted
gertvdijk
Asked: 2022-10-25 06:28:29 +0800 CST

FreeBSD: regra de encaminhamento PF/pf.conf entre interfaces

  • 772

Eu gostaria de configurar uma regra simples de encaminhamento (não encaminhamento de porta!) no FreeBSD 12.3 que filtra com base na interface de recepção e na interface de saída. As redes IP não devem fazer parte da regra, pois funciona como um roteador para todos os tipos de IPs. As redes roteadas serão definidas dinamicamente por um daemon de roteamento (BIRD com OSPF).

No FreeBSD usando PF eu só posso definir uma ifspecregra por filtro ( [ "on" ifspec ]) conforme man 5 pf.conf :

     pf-rule        = action [ ( "in" | "out" ) ]
              [ "log" [ "(" logopts ")"] ] [ "quick" ]
              [ "on" ifspec ] [ route ] [ af ] [ protospec ]
              hosts [ filteropt-list ]

Eu gostaria que a combinação de interface de entrada e interface de saída correspondesse. Como eu posso fazer isso?

No Linux usando nft/nftables eu faria isso:

define iface_site2site = { "tun0", "tun1", "tun9" }
[...]
  chain forward {
    type filter hook forward priority 0;
    policy drop;

    iifname $iface_site2site oifname $iface_site2site accept \
      comment "Freely forward packets between site-to-site links, firewalled at final destination."
  }
[...]

No Linux usando iptableseu faria isso:

iptables -A [...] --in-interface tun+ --out-interface tun+ -j ACCEPT

Como posso fazer o acima no FreeBSD?

Apenas para ser claro; Não estou procurando por encaminhamento de porta ou regras NAT.

freebsd

1 respostas

  1. Best Answer

    Parece não ser possível fazer isso em uma única regra no FreeBSD. Então, em vez disso, podemos usar uma matchregra para marcar o tráfego de entrada nessas interfaces, seguida por duas passregras, uma para ine outra para out, que só permite que o tráfego saia se estiver marcado como tal.

    Conforme man pf.conf(5) no FreeBSD 12.3:

    tag <string>
      Packets matching this rule will be tagged with the specified
      string.  The tag acts as an internal marker that can be used to
      identify these packets later on.  This can be used, for example, to
      provide trust between interfaces and to determine if packets have
      been processed by translation rules.  Tags are "sticky", meaning
      that the packet will be tagged even if the rule is not the last
      matching rule. [...]

    que menciona bem o caso de uso da pergunta ("fornecer confiança entre interfaces"). ?

    Os s do FreeBSD tagsão semelhantes aos marks do netfilter do Linux.

    Exemplo:

    site_to_site_links = "{" tun0 tun1 tun9 "}"

[...]

block log all

# Allow forwarding freely between the site-to-site interfaces
# (not to self); traffic firewalled at final destination.
match in on $site_to_site_links from any to any tag S2S no state
pass in quick on $site_to_site_links to ! self no state
pass out quick on $site_to_site_links tagged S2S no state

    Observe que o tráfego também precisa ser passed in, exceto quando é destinado a si mesmo, caso contrário, poderíamos ignorar outras regras de firewall de entrada.

    Dica de depuração adicional: habilite pflog(configure pflog_enable="YES"em rc.conf) e use tcpdump -e -n -i pflog0para ver o que está sendo bloqueado. A -eopção mostra qual regra corresponde para fazer com que o pacote seja bloqueado.

    • 0

relate perguntas