Hallo Leute,
ich bin mittelprächtig besorgt: Wenn ich den gesammelten Sachverstand vieler FAQ-Seiten, Howtos und sonstiger Artikel richtig deute, dann will mir tcpdump sagen, daß PF nix filtert:
sagt, daß PF NICHTS 'received' hat, kann der Packet Filter ja wohl nix getan
haben?
Könnte mir freundlicherweise jemand einen Hinweis geben, was ich hier falsch
mache? Ich stehe ziemlich auf dem Schlauch...
THX,
STEFAN
#################
### Meine /etc/pf.conf ###
#################
ich bin mittelprächtig besorgt: Wenn ich den gesammelten Sachverstand vieler FAQ-Seiten, Howtos und sonstiger Artikel richtig deute, dann will mir tcpdump sagen, daß PF nix filtert:
Wenn PF nach 20min nix 'dropped', kann ich damit leben. Aber wenn tcpdump mir# pfctl -f /etc/pf.conf
# tcpdump -i pflog0 -o -ttt -vv -e -n
tcpdump: listening on pflog0, link-type PFLOG
^C
0 packets received by filter
0 packets dropped by kernel
#
sagt, daß PF NICHTS 'received' hat, kann der Packet Filter ja wohl nix getan
haben?
Könnte mir freundlicherweise jemand einen Hinweis geben, was ich hier falsch
mache? Ich stehe ziemlich auf dem Schlauch...
THX,
STEFAN
#################
### Meine /etc/pf.conf ###
#################
Code:
### MACROS ###
ext_if1 = "wpi0"
int_if = "127.0.0.1"
tcp_services = "{ ftp-data, ftp, ssh, domain, pop3, auth, nntp, http, https, 446, cvspserver, 2628, 5999, 8000, 8080 }"
udp_services = "{ domain, ntp }"
icmp_types = "{ echoreq, unreach }"
martians = "{ 127.0.0.0/8, 172.16.0.0/12, 10.0.0.0/8, 169.254.0.0/16, 192.0.2.0/24, 0.0.0.0/8, 240.0.0.0/4 }"
### OPTIONS ###
set loginterface $ext_if1
set block-policy return
set skip on lo0
set ruleset-optimization basic
### SCRUB ###
scrub in
### TRANSLATION ###
nat-anchor "ftp-proxy/*"
rdr-anchor "ftp-proxy/*"
rdr pass on $int_if proto tcp to port ftp -> 127.0.0.1 port 8021
antispoof for $ext_if1
anchor "ftp-proxy/*"
### FILTER ###
block in
block drop in quick on $ext_if1 from $martians to any
block drop out quick on $ext_if1 from any to $martians
pass out
pass quick on lo0 no state
antispoof quick for { lo0 }
pass inet proto tcp from any to any port $tcp_services flags S/SA
pass inet proto udp from any to any port $udp_services
pass inet proto icmp all icmp-type $icmp_types