Wie kommt es, dass bei diesen Paketfilterregeln diese Regel auslöst?

2024-6-22 • tag-icon

Wie kommt es, dass bei diesen Paketfilterregeln diese Regel auslöst?

Ich habe (unter anderem) diese Regeln in meinem PF-Setup:

block drop in log (user) proto udp from any to any port = 137
block drop in log (user) proto udp from any to any port = 138
block drop in log (user) proto udp from any to any port = 139
block drop in log (user) proto udp from any to any port = 445
block drop in log (user) proto tcp from any to any port = 137
block drop in log (user) proto tcp from any to any port = 138
block drop in log (user) proto tcp from any to any port = 139
block drop in log (user) proto tcp from any to any port = 445
pass in proto udp from <192.168-net> to any port = 137 keep state
pass in proto udp from <192.168-net> to any port = 138 keep state
pass in proto udp from <192.168-net> to any port = 139 keep state
pass in proto udp from <192.168-net> to any port = 445 keep state
pass in proto tcp from <192.168-net> to any port = 137 flags S/SA keep state
pass in proto tcp from <192.168-net> to any port = 138 flags S/SA keep state
pass in proto tcp from <192.168-net> to any port = 139 flags S/SA keep state
pass in proto tcp from <192.168-net> to any port = 445 flags S/SA keep state
pass in proto udp from <ipv6-local-nets> to any port = 137 keep state
pass in proto udp from <ipv6-local-nets> to any port = 138 keep state
pass in proto udp from <ipv6-local-nets> to any port = 139 keep state
pass in proto udp from <ipv6-local-nets> to any port = 445 keep state
pass in proto tcp from <ipv6-local-nets> to any port = 137 flags S/SA keep state
pass in proto tcp from <ipv6-local-nets> to any port = 138 flags S/SA keep state
pass in proto tcp from <ipv6-local-nets> to any port = 139 flags S/SA keep state
pass in proto tcp from <ipv6-local-nets> to any port = 445 flags S/SA keep state

Aus den Protokollen erkenne ich, dass

block drop in log (user) proto tcp from any to any port = 445

wird von 192.168.2.91 ausgelöst. Wie ist das möglich, wenn

pass in proto tcp from <192.168-net> to any port = 445 flags S/SA keep state

Dasselbe passiert regelmäßig mit einem anderen Client mit einem anderen Regelsatz (für den Übermittlungsport). Beide stellen eine Verbindung über WLAN her. Die Dienste scheinen nicht betroffen zu sein, daher frage ich mich nur, wie diese Protokollmeldungen über blockierte Pakete möglich sind. Ich vermute, dass es etwas mit den Flags zu tun hat, aber ich verstehe nicht ganz, wie das passieren kann. Vielleicht etwas mit beschädigten Paketen?

Ich verwende macOS Mojave sowohl auf den Clients als auch auf dem Server.

verwandte Informationen