Ich habe gerade einen Mac OS X-Server geerbt, der pf verwendet. Das Problem, das ich zu lösen versuche, ist, warum ich keinen Ping vom Server aus durchführen kann. Ich kann problemlos einen Ping an die Maschine durchführen, bekomme aber beim Pingen einfach Timeouts.
z.B
$ ping 8.8.8.8
PING 8.8.8.8 (8.8.8.8): 56 data bytes
Request timeout for icmp_seq 0
Request timeout for icmp_seq 1
Request timeout for icmp_seq 2
^C
--- 8.8.8.8 ping statistics ---
4 packets transmitted, 0 packets received, 100.0% packet loss
Es gibt eine ziemlich einfache PF-Konfiguration, bei der eine Reihe bekannter „guter“ IP-Adressen in einer Tabelle (genauer gesagt in mehreren Tabellen) eingerichtet wird und ihnen der Zugriff über Folgendes gestattet wird:
pass in from { <my-good-ips1>, <my-good-ips2>, <my-good-ips3> } to any
Diese sind auch erlaubt in:
pass in quick inet proto udp from any port 67 to any port 68
Alles andere ist blockiert.
Und (am wichtigsten) der gesamte Datenverkehr darf nach draußen:
pass out proto tcp from any to any keep state
pass out proto udp from any to any keep state
Glauben Sie, dass ich mit der Betrachtung von PF überhaupt auf dem richtigen Weg bin? Oder sollte ich meine Untersuchungen in eine andere Richtung lenken?
Antwort1
Du fehlst pass proto icmp.
Normalerweise ist es sinnvoll, als erste Regel folgendes festzulegen:
pass quick proto icmp
Andernfalls blockieren Sie implizit den Datenverkehr. Denken Sie daran, dass ICMP ein eigenes Protokoll ist und nicht von TCP oder UDP abgedeckt wird. Weitere Informationen finden Sie in derOpenBSD-Seite auf PF.