firewall pf bloqueia atualização do raspbian apt-get

tag-icon tag-icon networking macos firewall apt-get pf
firewall pf bloqueia atualização do raspbian apt-get

Estou conectando meu raspberry pi 3 (raspbian stretch) ao meu Macpro (10.13.2; High Sierra) à porta Ethernet 802.3, que faz parte do adaptador em ponte ( bridge100) usando o recurso Internet Share. A interface da Internet no Mac é en2(sem fio).

Embora eu possa executar ping google.comou mirrordirector.raspbian.org, quando tento atualizar pacotes, o apt-get trava para sempre:

# apt-get update
0% [Connecting to mirrordirector.raspbian.org (93.93.128.193)] [Connecting to archive.raspberrypi.org (93.93.130.104)]

Quando desativo o firewall pf no mac, ele começa a funcionar. Minhas regras de PF são as seguintes:

LAN="bridge100"
WLAN="en2"

dns="53"
ntp="123"

set fingerprints "/etc/pf.os"
set skip on lo
set block-policy drop

set ruleset-optimization basic
set optimization normal
set timeout { tcp.established 600, tcp.closing 60 }
scrub in all no-df fragment reassemble
antispoof log quick for { lo $LAN $WLAN }


block all
block in log quick from no-route to any

pass in quick on { $LAN $WLAN } proto { udp tcp } from any to any port $dns keep state
pass in quick proto udp from any port 67 to any port 68
pass in proto udp from any to port $ntp

pass in inet proto icmp from 10.8.0.0/24
pass in inet proto icmp from 192.168.1.0/24
pass in inet proto icmp from 192.168.2.0/24
pass in inet proto icmp from 172.16.42.0/24

pass out all

Que regra devo usar para permitir apt-get update. Achei que pass out allfaria isso, mas parece que não entendo completamente o firewall. Por favor ajude.

Responder1

Bem, finalmente descobri isso. O problema era complexo.

1 - Eu tinha as seguintes regras de redirecionamento das quais não conhecia:

rdr pass inet proto tcp from any to any port 80 -> 127.0.0.1 port 8080
rdr pass inet proto tcp from any to any port 443 -> 127.0.0.1 port 8443

Então eu comentei porque o apt-get usa a porta 80 (e provavelmente 443)

2 - O principal. Ao marcarCompartilhamento de Internetcaixa de seleção emPreferências, o MacOS adiciona dinamicamente as seguintes âncoras PF:

nat-anchor "com.apple.internet-sharing" all
rdr-anchor "com.apple.internet-sharing" all

scrub-anchor "com.apple.internet-sharing" all fragment reassemble
anchor "com.apple.internet-sharing" all

Execute sudo pfctl -sapara ter certeza de que essas âncoras estão incluídas. Caso contrário, basta desmarcar e marcar novamenteCompartilhamento de Internetcaixa de seleção no sistema MacOSPreferências.

informação relacionada