问题[pf](server)

将我的 FreeBSD 系统从 12.2 升级到 13.0-p3 后，PF 阻止了所有流向我的监狱的流量。禁用 PF 时，一切正常（除了不受保护；））

我试图通过设置'block in log all'来弄清楚是什么规则阻止了这个流量，但是除了一些明显的多播内容之外，没有任何东西可以解释为什么这个流量被阻止了。

同样，在 12.2 版本下一切正常之前。我确实找到了一些关于 v13 现在过滤 VLAN 而不是 lo0 的文章，但我不使用任何 VLAN。

我应该进一步寻求什么方向？

2021 年 7 月 15 日更新：

为清楚起见：这是我的 pf_rules 文件：

set block-policy return
set optimization aggressive
set skip on { lo0, lo1, lo2, lo3, lo4, lo5 }
ext_if=hn0
ext_address="{ 192.x.x.x, 2001:981:x.x::x }"
ext_services = "{ ssh, http, https, smtp, smtps }"
tcp_services = "{ ftp, ssh, domain, ntp, www, smtp, smtps, submission, http, https,nfs}"
udp_services = "{ domain, ntp, nfs }"
icmp6_types="{ 2, 128 }" # packet too big, echo request (ping6)
icmp6_types_ext_if="{ 128, 133, 134, 135, 136, 137 }"
jail_net = "192.168.1.0/24"
jail_services = "{ mysql, http, smtp, 587, 3000 }"
table <sshguard> persist
scrub in all
nat pass on $ext_if from $jail_net to any -> $ext_address
block in log on $ext_if proto tcp from <sshguard> to any port ssh label "ssh bruteforce"
block in log all
pass in quick from <pf_whitelist> flags S/SA synproxy state
pass out on $ext_if inet6 proto icmp6 all icmp6-type echoreq keep state
pass out on $ext_if inet proto udp to port 33433:33626
pass out on $ext_if inet6 proto udp to port 33433:33626
pass in on $ext_if inet6 proto ipv6-icmp icmp6-type $icmp6_types keep state
pass in on $ext_if inet6 proto ipv6-icmp from any to { ($ext_if ), ff02::1/16 } icmp6-type $i
cmp6_types_ext_if keep state
pass in on $ext_if proto tcp from any to $ext_address port $ext_services keep state
pass in on $ext_if inet6 proto tcp from any to $ext_address port $ext_services keep state
pass out on $ext_if inet proto tcp to any port $tcp_services keep state
pass out on $ext_if inet6 proto tcp to any port $tcp_services keep state
pass out on $ext_if inet6 proto udp to any port $udp_services
pass proto udp to any port $udp_services keep state
pass in proto tcp from any to $jail_net port $jail_services keep state
pass out proto tcp from $jail_net to any port $jail_services keep state
pass inet proto icmp from any to any

这已经工作了很多年，直到 FreeBSD 13

以下pf.conf（FreeBSD 10.3）似乎阻止了所有 IPv6 流量，我不知道为什么。

tcp_inbound = "{ ssh, domain, http, https }"
tcp_outbound = "{ domain, http, https, imaps, smtps }"

udp_services = "{ domain, ntp }"

block all
pass proto udp to any port $udp_services keep state
pass out proto tcp to any port $tcp_outbound keep state
pass in proto tcp to any port $tcp_inbound keep state

# from https://help.github.com/articles/what-ip-addresses-does-github-use-that-i-should-whitelist/
table <github> { 192.30.252.0/22, 2620:112:3000::/44 }
pass out proto tcp to <github> port { ssh } keep state

pass proto icmp from any to any

如何在允许 IPv4 的相同服务上允许 IPv6 流量？我添加inet6了每个规则的显式版本，但似乎没有帮助。如果我禁用pf，那么 IPv6 流量可以正常通过。

我在 FreeBSD 10.3 服务器上设置了 OpenVPN + PF 设置。

我的 VPN 的客户端包括管理员，他们应该可以完全访问网络，而不受信任的用户应该只能访问几个 IP 地址。

我使用 client-config-dir 为特定用户设置一个唯一的 IP 地址，稍后我会使用 PF 阻止或传递该地址。

问题在于，由于 OpenVPN 是使用 Tap 设备设置的，因此任何连接的客户端都可以手动将其 IP 地址更改为受信任的 IP 并覆盖此限制。

即：我将一台机器连接到VPN，该VPN根据其不受信任的ccd获取IP地址10.0.1.11。但是，如果客户端将他的 IP（使用 ifconfig）更改为受信任的 10.0.1.15，他的限制就会被覆盖。

有没有办法强制客户端只能使用某个 IP 地址而不使用 TUN 设备？

如果没有，是否有任何方法可以在不使用 VPN 客户端 IP 地址或运行单独的 VPN 的情况下过滤网络访问？

谢谢你的帮助

我想渗透测试一个移动应用程序。为此，我想拦截所有 WiFi 流量并将其转发给在 VM 中运行的 Burp。

我在我的 Macbook 上启用了“互联网共享”，所以我的手机现在使用 WiFi 连接到笔记本电脑。然后我想将所有流量转发到 Burp 代理，它位于 172.16.122.128:8080。

重定向到本地主机工作：

rdr pass on bridge100 inet proto tcp from any to any port {80,443} -> 127.0.0.1 port 8080

我将此规则放在一个文件中并使用pfctl -f pf.rules. 之后，我在端口 8080 上列出了使用nc -l -p 8080，当我在手机上浏览某个地方时，它确实连接到了 localhost。

但是，当我尝试转发到 172.16.122.128 时，它不起作用：

rdr pass on bridge100 inet proto tcp from any to any port {80,443} -> 172.16.122.128 port 8080

数据包最终会进入 VM（使用 Wireshark 测试），但没有建立连接。这可能是因为它们源自 192.168.2.3。我需要在某个地方进行 NAT 吗？如何正确配置它？

我画了一张我的网络布局图。（虚拟机实际上在我的笔记本电脑上运行，但我在这里将其分开绘制。）

我处于这样一种情况，我需要通过 pfSense 向 WebConfigurator 开放 WAN 访问权限，因为我没有其他节点连接到同一网络以从内部访问 WebConfigurator。理想情况下，我只想在 shell 中执行此操作，或者直接修改 pf 的配置以“允许所有”足够长的时间让我从我的 IP 打开对 WebConfigurator 的 WAN 访问，或者修改 config.xml 以手动添加该规则。有没有人对如何实现这一目标有任何见解？

这里有人能够为 ASA 设备和 pfSense 2.0.1 之间的 L2L VPN 指定稳定的配置吗？我在 ASA 端使用最适应的设置（DefaultL2LGroup阻止 pfSense 和 ASA 正常运行的 IPSec 实现。还有什么可以尝试的吗？任何人都可以提供一些轶事提示或技巧来诊断和/或修复掉落的隧道吗？

我尝试过的事情

• 查看 racoon 调试日志
• 消除 DPD
• 不同的生命周期值（两端）
• 让 ASA 发起流量（不是DefaultL2LGroup）

非常感谢任何帮助。

我有一个 FreeBSD 服务器，我正在尝试让 FTP 运行。如果我禁用 pf 一切都会很好。

如果我在 pf 运行时连接，我可以成功登录 - 但只要我运行 ls，我就会得到：

ftp> ls
229 Entering Extended Passive Mode (|||61162|)

然后什么都没有......最后我得到了这个：421服务不可用，远程服务器超时。连接关闭

如果有人可以帮助我，我将在下面复制我的 pf.conf 文件，我会被吓倒的！

### macro name for external interface.
ext_if = "re0"
allowed_icmp_types = "echoreq"

### all incoming traffic on external interface is normalized and fragmented
### packets are reassembled.
scrub in on $ext_if all fragment reassemble

### FTP Proxy stuff
nat-anchor "ftp-proxy/*"
rdr-anchor "ftp-proxy/*"
rdr pass proto tcp from any to any port ftp -> 127.0.0.1 port 8021

### set a default deny everything policy.
block log all

### exercise antispoofing on the external interface, but add the local
### loopback interface as an exception, to prevent services utilizing the
### local loop from being blocked accidentally.
set skip on lo0
antispoof for $ext_if inet

### block anything coming from sources that we have no back routes for.
block in log from no-route to any

### block packets that fail a reverse path check. we look up the routing
### table, check to make sure that the outbound is the same as the source
### it came in on. if not, it is probably source address spoofed.
#block in from urpf-failed to any

### drop broadcast requests quietly.
block in quick on $ext_if from any to 255.255.255.255

### block packets claiming to come from reserved internal address blocks, as
### they are obviously forged and cannot be contacted from the outside world.
block in log quick on $ext_if from { 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, 255.255.255.255/32 } to any

### block probes that can possibly determine our operating system by disallowing
### certain combinations that are commonly used by nmap, queso and xprobe2, who
### are attempting to fingerprint the server.
### * F : FIN  - Finish; end of session
### * S : SYN  - Synchronize; indicates request to start session
### * R : RST  - Reset; drop a connection
### * P : PUSH - Push; packet is sent immediately
### * A : ACK  - Acknowledgement
### * U : URG  - Urgent
### * E : ECE  - Explicit Congestion Notification Echo
### * W : CWR  - Congestion Window Reduced
block in log quick on $ext_if proto tcp flags FUP/WEUAPRSF
block in log quick on $ext_if proto tcp flags WEUAPRSF/WEUAPRSF
block in log quick on $ext_if proto tcp flags SRAFU/WEUAPRSF
block in log quick on $ext_if proto tcp flags /WEUAPRSF
block in log quick on $ext_if proto tcp flags SR/SR
block in log quick on $ext_if proto tcp flags SF/SF

### keep state on any outbound tcp, udp or icmp traffic. modulate the isn of
### outgoing packets. (initial sequence number) broken operating systems
### sometimes don't randomize this number, making it guessable.
pass out on $ext_if proto { tcp, udp, icmp } from any to any modulate state

### normally, a client connects to the server and we handshake with them, then
### proceed to exchange data. by telling pf to handshake proxy between the client
### and our server, tcp syn flood attacts from ddos become uneffective because
### a spoofed client cannot complete a handshake.

### set a rule that allows inbound ssh traffic with synproxy handshaking.
pass in on $ext_if proto tcp from any to any port ssh flags S/SA synproxy state

### set a rule that allows inbound www traffic with synproxy handshaking.
pass in on $ext_if proto tcp from any to any port www flags S/SA synproxy state

# Allow icmp
pass in log quick inet proto icmp all icmp-type $allowed_icmp_types keep state

### lets try this
#pass in on $ext_if proto tcp from any to any port ftp flags S/SA synproxy state
pass in on $ext_if inet proto tcp from port ftp-data to ($ext_if) user proxy flags S/SA keep state
### NTP allowed
pass in on $ext_if proto tcp from any to any port ntp
pass in on $ext_if proto udp from any to any port ntp
pass out on $ext_if proto tcp to any port ntp
pass out on $ext_if proto udp to any port ntp

### FTP Passive BS
###pass in quick on $ext_if proto tcp from any to any port 30000:60000
pass in on $ext_if proto tcp from any to any port 21 keep state
#pass in on $ext_if proto tcp from any to any port > 49151 keep state

### FTP Outgoing Proxy Stuff
anchor "ftp-proxy/*"

### setup a table and ruleset that prevents excessive abuse by hosts
### that attempt to brute force the ssh daemon with repeated requests.
### any host that hammers more than 3 connections in 5 seconds gets
### all their packet states killed and dropped into a blackhole table.
table <ssh_abuse> persist
block in quick from <ssh_abuse>
pass in on $ext_if proto tcp to any port ssh flags S/SA keep state (max-src-conn 10, max-src-conn-rate 3/5, overload <ssh_abuse> flush)

我已经在 OpenBSD 4.3 上运行基于 pf 的过滤路由器大约一年了。我当前的任务是建立一个新的网段来托管我们的外部站点。

我的目标是设置在这个网段中的机器不应该比互联网上的机器更多地访问我们网络的其余部分。

总的来说，这是非常接近的。我们让 DNS 服务器将其外部视图返回到该网段。pf 不会将此段的流量路由到 Internet 接口以外的任何段。但是，如果它们也被允许访问互联网，我似乎无法阻止它将数据包路由到路由器。

例如

挡住
...
# 将 dmz 流量标记为仅允许访问 Internet
传入 $dmz_if inet 所有标签 INTERNET_ONLY
...
# 确保只有允许访问 Internet 的流量通过
阻止 $internet_if
屏蔽 $internet_if 标记的 INTERNET_ONLY 标记 ROUTE_INTERNET
通过 $internet_if 标记 ROUTE_INTERNET

我希望能够添加

从 $(dmz_if:network) 屏蔽 $local_if

阻止任何来自路由器的数据包，但似乎本地主机的数据包不会在 lo0 上发出。我怎样才能阻止他们？

我是否误解了这一切是如何运作的？有没有我错过的选项来允许这个？

有什么建议么？

使用 Free/Open BSD + pf 过滤 DDoS 是否可行？两者中哪一个在重负载下表现更好？（SYN 洪水最大化 1 gbit 管道）

这甚至是一个需要考虑的选项，还是需要一个完整的硬件 D​​DoS 过滤器才能获得足够快的性能？

这是一个我无法诊断的问题：

我们的用户主目录通过 NFS 从运行 Mac OS X 10.5.7 的 Apple XServe 提供。通常它们被导出到我们的默认办公室子网“lan”。最近我一直在构建一个新的子网，“农场”。“农场”上的计算机与“局域网”上的计算机运行相同的操作系统（openSUSE 11.1 和 Gentoo），并且软件版本相同。

问题是，当我的用户在“农场”上使用机器一段时间（5 分钟，有时 30 分钟，有时一小时）时，NFS 挂载似乎只是挂起。尝试对ls目录或尝试访问用户主目录的任何其他操作（例如登录等）进行操作只会卡住。从“挂起”的机器挂载到其他 NFS 服务器似乎按预期工作。

客户端或服务器的日志中没有任何内容表明有任何问题。相同类型的客户端可以在默认的“lan”子网中正常工作。

我尝试了 NFS 服务器和客户端的各种不同配置（禁用/启用 kerberos，不同的挂载选项），但似乎没有任何区别。

我强烈怀疑这两个子网之间存在一些网络级别的问题，可能是防火墙/路由器（OpenBSD 使用 pf 作为数据包过滤器）造成的一些问题。两组机器之间的连接相当简单： x serve --> switch --> router --> switch --> clients

对于接下来要尝试的调试方法，或者可能的解决方案可能是什么，我几乎一无所知。关于如何从这一点上解决这个问题的任何想法？

更新：

仍然无法解决这个问题。当我在内部接口上禁用时，我以为我已经将它扼杀在萌芽状态scrub，但问题再次显现出来。奇怪的是 pf 似乎还在修改一些数据包。

在农场vlan 端的示例对话：

09:17:39.165860 node001.farm.foo.com.769 > barstar.lan.foo.com.nfsd: S 2887472382:2887472382(0) win 5840 <mss 1460,sackOK,timestamp 236992843 0,nop,wscale 6> (DF)
09:17:39.166124 barstar.lan.foo.com.nfsd > node001.farm.foo.com.769: . ack 43 win 65535 <nop,nop,timestamp 316702204 236992843> (DF)
09:17:54.164490 node001.farm.foo.com.769 > barstar.lan.foo.com.nfsd: S 2887472385:2887472385(0) win 5840 <mss 1460,sackOK,timestamp 236996593 0,nop,wscale 6> (DF)
09:17:54.164760 barstar.lan.foo.com.nfsd > node001.farm.foo.com.769: R 1441270809:1441270809(0) ack 43 win 65535 (DF)
09:17:54.164776 barstar.lan.foo.com.nfsd > node001.farm.foo.com.769: R 4243886205:4243886205(0) ack 46 win 0 (DF)
09:17:54.164989 node001.farm.foo.com.769 > barstar.lan.foo.com.nfsd: S 2887472388:2887472388(0) win 5840 <mss 1460,sackOK,timestamp 236996593 0,nop,wscale 6> (DF)
09:17:57.164066 node001.farm.foo.com.769 > barstar.lan.foo.com.nfsd: S 2887472388:2887472388(0) win 5840 <mss 1460,sackOK,timestamp 236997343 0,nop,wscale 6> (DF)
09:17:57.164330 barstar.lan.foo.com.nfsd > node001.farm.foo.com.769: . ack 49 win 65535 <nop,nop,timestamp 316702384 236997343> (DF)
09:18:03.163468 node001.farm.foo.com.769 > barstar.lan.foo.com.nfsd: S 2887472388:2887472388(0) win 5840 <mss 1460,sackOK,timestamp 236998843 0,nop,wscale 6> (DF)
09:18:03.163732 barstar.lan.foo.com.nfsd > node001.farm.foo.com.769: . ack 49 win 65535 <nop,nop,timestamp 316702444 236998843> (DF)

在lan vlan 上也是如此：

09:17:39.165876 node001.farm.foo.com.769 > barstar.lan.foo.com.nfsd: S 2887472382:2887472382(0) win 5840 <mss 1460,sackOK,timestamp 236992843 0,nop,wscale 6> (DF)
09:17:39.166110 barstar.lan.foo.com.nfsd > node001.farm.foo.com.769: . ack 1 win 65535 <nop,nop,timestamp 316702204 236992843> (DF)
09:17:54.164505 node001.farm.foo.com.769 > barstar.lan.foo.com.nfsd: S 2887472385:2887472385(0) win 5840 <mss 1460,sackOK,timestamp 236996593 0,nop,wscale 6> (DF)
09:17:54.164740 barstar.lan.foo.com.nfsd > node001.farm.foo.com.769: R 1:1(0) ack 1 win 65535 (DF)
09:17:54.164745 barstar.lan.foo.com.nfsd > node001.farm.foo.com.769: R 2802615397:2802615397(0) ack 4 win 0 (DF)
09:17:54.165003 node001.farm.foo.com.769 > barstar.lan.foo.com.nfsd: S 2887472388:2887472388(0) win 5840 <mss 1460,sackOK,timestamp 236996593 0,nop,wscale 6> (DF)
09:17:54.165239 barstar.lan.foo.com.nfsd > node001.farm.foo.com.769: S 449458819:449458819(0) ack 2887472389 win 65535 <mss 1460,nop,wscale 3,nop,nop,timestamp 316702354 236996593,sackOK,eol> (DF)
09:17:55.123665 barstar.lan.foo.com.nfsd > node001.farm.foo.com.769: S 449458819:449458819(0) ack 2887472389 win 65535 <mss 1460,nop,wscale 3,nop,nop,timestamp 316702363 236996593,sackOK,eol> (DF)
09:17:57.124839 barstar.lan.foo.com.nfsd > node001.farm.foo.com.769: S 449458819:449458819(0) ack 2887472389 win 65535 <mss 1460,nop,wscale 3,nop,nop,timestamp 316702383 236996593,sackOK,eol> (DF)
09:17:57.164082 node001.farm.foo.com.769 > barstar.lan.foo.com.nfsd: S 2887472388:2887472388(0) win 5840 <mss 1460,sackOK,timestamp 236997343 0,nop,wscale 6> (DF)
09:17:57.164316 barstar.lan.foo.com.nfsd > node001.farm.foo.com.769: . ack 1 win 65535 <nop,nop,timestamp 316702384 236997343> (DF)
09:18:01.126690 barstar.lan.foo.com.nfsd > node001.farm.foo.com.769: S 449458819:449458819(0) ack 2887472389 win 65535 <mss 1460,nop,wscale 3,nop,nop,timestamp 316702423 236997343,sackOK,eol> (DF)
09:18:03.163483 node001.farm.foo.com.769 > barstar.lan.foo.com.nfsd: S 2887472388:2887472388(0) win 5840 <mss 1460,sackOK,timestamp 236998843 0,nop,wscale 6> (DF)
09:18:03.163717 barstar.lan.foo.com.nfsd > node001.farm.foo.com.769: . ack 1 win 65535 <nop,nop,timestamp 316702444 236998843> (DF)

我还应该提到，我们有其他 NFS 流量通过同一台机器，但来自不同的 NFS 服务器。我们多年来一直在使用它，并且在那里没有遇到任何问题。同样，这些 XServes 也已经在自己的子网上为 Linux 客户端提供 NFS 服务很长时间了，并且会继续这样做。