Como é que com essas regras de filtro de pacotes essa regra é acionada?

2024-6-22 • tag-icon

Como é que com essas regras de filtro de pacotes essa regra é acionada?

Eu tenho (entre outras) estas regras na minha configuração de pf:

block drop in log (user) proto udp from any to any port = 137
block drop in log (user) proto udp from any to any port = 138
block drop in log (user) proto udp from any to any port = 139
block drop in log (user) proto udp from any to any port = 445
block drop in log (user) proto tcp from any to any port = 137
block drop in log (user) proto tcp from any to any port = 138
block drop in log (user) proto tcp from any to any port = 139
block drop in log (user) proto tcp from any to any port = 445
pass in proto udp from <192.168-net> to any port = 137 keep state
pass in proto udp from <192.168-net> to any port = 138 keep state
pass in proto udp from <192.168-net> to any port = 139 keep state
pass in proto udp from <192.168-net> to any port = 445 keep state
pass in proto tcp from <192.168-net> to any port = 137 flags S/SA keep state
pass in proto tcp from <192.168-net> to any port = 138 flags S/SA keep state
pass in proto tcp from <192.168-net> to any port = 139 flags S/SA keep state
pass in proto tcp from <192.168-net> to any port = 445 flags S/SA keep state
pass in proto udp from <ipv6-local-nets> to any port = 137 keep state
pass in proto udp from <ipv6-local-nets> to any port = 138 keep state
pass in proto udp from <ipv6-local-nets> to any port = 139 keep state
pass in proto udp from <ipv6-local-nets> to any port = 445 keep state
pass in proto tcp from <ipv6-local-nets> to any port = 137 flags S/SA keep state
pass in proto tcp from <ipv6-local-nets> to any port = 138 flags S/SA keep state
pass in proto tcp from <ipv6-local-nets> to any port = 139 flags S/SA keep state
pass in proto tcp from <ipv6-local-nets> to any port = 445 flags S/SA keep state

Pelo registro eu vejo isso

block drop in log (user) proto tcp from any to any port = 445

é acionado a partir de 192.168.2.91. Como isso é possível dado

pass in proto tcp from <192.168-net> to any port = 445 flags S/SA keep state

O mesmo acontece regularmente com outro cliente com outro conjunto de regras (para a porta de envio). Ambos se conectam por Wifi. Os serviços não parecem ter sido afetados, então estou curioso para saber como é possível que essas mensagens de log de pacotes bloqueados sejam possíveis. Suspeito que tenha algo a ver com as bandeiras, mas não entendo muito bem como isso pode acontecer. Algo com pacotes danificados, talvez?

Estou executando o macOS Mojave em clientes e servidores.

informação relacionada