[FUG-BR] Problema de firewall PF

[Marcelo Gondim]

Em 07/10/13 18:50, Diogo Dalfovo escreveu:
> Boa noite pessoal,
>
> Bom eu acredito que seja algo simples de resolver mas não estou achando uma
> solução.
> Estou montando um firewall com a seguinte configuração:
>
> root em fw:~ # pfctl -sr
> ...
> block drop in log inet all label "BLOQUEIO PADRAO ENTRADA IPV4"
> block drop out log inet all label "BLOQUEIO PADRAO SAIDA IPV4"
> pass in log quick on vlan3 inet proto icmp from $IP_EXTERNO to 10.2.2.30
> icmp-type echoreq code 0 keep state label "libera icmp WAN" rtable 1
>
> root em fw:~ # pfctl -sn
> binat on vlan3 inet from 10.2.2.30 to any -> $IP_EXTERNO
>
> Neste IP eu tenho nat 1:1
>
> Disparo ping para o $IP_EXTERNO funciona sem problema algum. Depois eu
> removo a regra de liberação, mando recarregar as regras e maldito continua
> pingando.
> Se depois de um tempo sem ping volto a disparar dai sim ele faz o bloqueio.
>
> 00:00:04.999486 rule 2..16777216/0(match): block in on vlan3: x.x.x.x >
> 10.2.2.30: ICMP echo request, id 11861, seq 8081, length 40
> 00:00:05.000195 rule 7..16777216/0(match): pass in on vlan3: x.x.x.x >
> 10.2.2.30: ICMP echo request, id 11861, seq 8082, length 40
> 00:20:08.074826 rule 2..16777216/0(match): block in on vlan3: x.x.x.x >
> 10.2.2.30: ICMP echo request, id 47373, seq 9262, length 40
>
> Precisa de alguma configuração no "options"? set timeout qualquer coisa
> para quando eu remover a regra e recarregar ele ja fazer o bloqueio?
> Como se ele tivesse mantendo a sessão anterior ainda liberada.
>
> Diogo Dalfovo
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>
Olá Digo,

Uso o PF mais para NAT e para filtro o ipfw mas tudo indica que você 
continua pingando por causa do state da conexão, mesmo você removendo a 
regra, ela continua lá. Experimenta fazer um flush para você ver se 
continua pingando:

pfctl -F states

E depois tenta pingar logo em seguida.

[]'s
Gondim