Acabo de heredar un servidor Mac OS X que usa pf. El problema que estoy tratando de resolver es por qué no puedo hacer ping FUERA del servidor. Puedo hacer ping a la máquina sin preocupaciones, pero solo obtengo tiempos de espera al finalizar el ping.
p.ej
$ ping 8.8.8.8
PING 8.8.8.8 (8.8.8.8): 56 data bytes
Request timeout for icmp_seq 0
Request timeout for icmp_seq 1
Request timeout for icmp_seq 2
^C
--- 8.8.8.8 ping statistics ---
4 packets transmitted, 0 packets received, 100.0% packet loss
Hay una configuración de pf bastante simple donde se configura un conjunto de direcciones IP "buenas" conocidas en una tabla (en realidad, varias tablas), y se les permite el acceso mediante:
pass in from { <my-good-ips1>, <my-good-ips2>, <my-good-ips3> } to any
Estos también están permitidos en:
pass in quick inet proto udp from any port 67 to any port 68
Todo lo demás está bloqueado.
Y (lo más importante) se permite la salida de todo el tráfico:
pass out proto tcp from any to any keep state
pass out proto udp from any to any keep state
¿Crees que estoy siquiera en lo cierto mirando pf. ¿O debería dirigir mis investigaciones por otro camino?
Respuesta1
Estás perdido pass proto icmp.
Por lo general, es una medida razonable tener como regla de primer paso:
pass quick proto icmp
De lo contrario, estarás bloqueando implícitamente ese tráfico. Recuerde que ICMP es su propio protocolo y no está cubierto por TCP o UDP. Ver elPágina de OpenBSD en PF.