Как так получается, что при этих правилах фильтрации пакетов срабатывает это правило?

tag-icon tag-icon pf
Как так получается, что при этих правилах фильтрации пакетов срабатывает это правило?

У меня (помимо прочих) в настройках pf есть следующие правила:

block drop in log (user) proto udp from any to any port = 137
block drop in log (user) proto udp from any to any port = 138
block drop in log (user) proto udp from any to any port = 139
block drop in log (user) proto udp from any to any port = 445
block drop in log (user) proto tcp from any to any port = 137
block drop in log (user) proto tcp from any to any port = 138
block drop in log (user) proto tcp from any to any port = 139
block drop in log (user) proto tcp from any to any port = 445
pass in proto udp from <192.168-net> to any port = 137 keep state
pass in proto udp from <192.168-net> to any port = 138 keep state
pass in proto udp from <192.168-net> to any port = 139 keep state
pass in proto udp from <192.168-net> to any port = 445 keep state
pass in proto tcp from <192.168-net> to any port = 137 flags S/SA keep state
pass in proto tcp from <192.168-net> to any port = 138 flags S/SA keep state
pass in proto tcp from <192.168-net> to any port = 139 flags S/SA keep state
pass in proto tcp from <192.168-net> to any port = 445 flags S/SA keep state
pass in proto udp from <ipv6-local-nets> to any port = 137 keep state
pass in proto udp from <ipv6-local-nets> to any port = 138 keep state
pass in proto udp from <ipv6-local-nets> to any port = 139 keep state
pass in proto udp from <ipv6-local-nets> to any port = 445 keep state
pass in proto tcp from <ipv6-local-nets> to any port = 137 flags S/SA keep state
pass in proto tcp from <ipv6-local-nets> to any port = 138 flags S/SA keep state
pass in proto tcp from <ipv6-local-nets> to any port = 139 flags S/SA keep state
pass in proto tcp from <ipv6-local-nets> to any port = 445 flags S/SA keep state

Из журнала я вижу, что

block drop in log (user) proto tcp from any to any port = 445

запускается с 192.168.2.91. Как это возможно, учитывая

pass in proto tcp from <192.168-net> to any port = 445 flags S/SA keep state

То же самое происходит с одним другим клиентом регулярно с другим набором правил (для порта отправки). Оба подключаются через Wi-Fi. Службы, похоже, не затронуты, поэтому мне просто интересно, как вообще возможно появление этих сообщений журнала о заблокированных пакетах. Я подозреваю, что что-то связано с флагами, но не совсем понимаю, как это могло произойти. Может быть, что-то с поврежденными пакетами?

Я использую macOS Mojave как на клиентах, так и на сервере.

Связанный контент