我有一个问题,我的 pf 记录了许多它不应该记录的数据包。我用几乎空的 pf.conf 复制了它:
set skip on lo
它仍然记录一些数据包。我认为所有这些数据包都是 ICMP6 类型的,它们并不真正属于我的计算机,我不知道为什么会收到它们,但我无法控制它。
这是数据包的示例(通过 pflog0 上的 tcpdump 接收):
13:18:29.211678 rule def/(match) pass in on vio0: fe80::3ad5:47ff:fe75:1a2b > ff02::1:ff75:1a2b: HBH icmp6: multicast listener report [hlim 1]
所以我的问题是:我在哪里可以了解这些默认匹配规则以及如何禁用这些日志。
我试图将这些数据包与类似的东西显式匹配pass in on vio0(没有记录语句),但它们仍然被记录,可能是因为那个神秘的默认匹配标记了要记录的数据包。
这是多播流量。
好吧,整个事情都有部分记录,但从您看到的问题中并没有明显追溯。
从
man pf.conf(标记 是我的):—
HBH您在日志中看到的正是“逐跳”。我的理论是: Pf 的开发人员决定,由于即使有
pass规则(在您的情况下似乎默认情况下),这种流量也会被阻止,因此更加努力地举报是有意义的,这就是您得到它的原因记录。正如手册页中所建议的,您可以通过引入明确给出的
pass规则来解决此问题:allow-optspass allow-opts