저는 방금 pf를 사용하는 Mac OS X 서버를 물려받았습니다. 내가 해결하려는 문제는 왜 서버에서 ping을 보낼 수 없다는 것입니다. 걱정하지 않고 컴퓨터에 핑을 보낼 수 있지만 핑 아웃 시 시간 초과가 발생합니다.
예를 들어
$ ping 8.8.8.8
PING 8.8.8.8 (8.8.8.8): 56 data bytes
Request timeout for icmp_seq 0
Request timeout for icmp_seq 1
Request timeout for icmp_seq 2
^C
--- 8.8.8.8 ping statistics ---
4 packets transmitted, 0 packets received, 100.0% packet loss
알려진 "좋은" IP 주소 세트가 테이블(실제로는 여러 테이블)에 설정되어 있고 다음을 사용하여 액세스가 허용되는 매우 간단한 pf 구성이 있습니다.
pass in from { <my-good-ips1>, <my-good-ips2>, <my-good-ips3> } to any
다음에서도 허용됩니다.
pass in quick inet proto udp from any port 67 to any port 68
그 밖의 모든 것은 차단됩니다.
그리고 (가장 중요한 것은) 모든 트래픽이 허용됩니다.
pass out proto tcp from any to any keep state
pass out proto udp from any to any keep state
내가 pf를 보고 있는 것 같나요? 아니면 조사를 다른 방향으로 진행해야 합니까?
답변1
당신은 실종되었습니다 pass proto icmp.
일반적으로 첫 번째 통과 규칙으로 사용하는 것이 합리적인 조치입니다.
pass quick proto icmp
그렇지 않으면 해당 트래픽을 암시적으로 차단하게 됩니다. ICMP는 자체 프로토콜이며 기억하세요. TCP나 UDP에서는 다루지 않습니다. 참조PF의 OpenBSD 페이지.