Вангую, это из-за "the last matching rule wins" (цитата из man, pf не использую).
On Mon, Dec 9, 2019, 06:27 Victor Sudakov <[email protected]> wrote: > Уважаемые коллеги! > > Есть вопрос по pf и states в нём. Пробовал задавать в freebsd-pf, но там > или меня не понимают, или я их не понимаю, начинаю думать, что мой > английский плох. > > Может тут есть знатоки pf, прокомментируют? > > Простейшая конфигурация на роутере из трех правил: > > # DMZ 172.16.1.0/24 > pass in on $dmz > block in on $dmz from any to 192.168.0.0/16 > # Inside 192.168.10.0/24 > pass in on $inside > > Пингуем хост 172.16.1.10 с хоста 192.168.10.3 через этот роутер. > Эти пинги создают state: > > root@fw:~ # pfctl -vvs state > No ALTQ support in kernel > ALTQ related functions disabled > all icmp 172.16.1.10:62211 <- 192.168.10.3:62211 0:0 > age 00:09:17, expires in 00:00:10, 531:0 pkts, 44604:0 bytes, rule 2 > id: 000000005de8b503 creatorid: e8f0f0df > root@fw:~ # > > Однако почему-то ответы на пинг (идущие с 172.16.1.10 на 192.168.10.3) > режутся на правиле "block in on $dmz from any to 192.168.0.0/16", хотя > я ожидаю, что созданный state (приведен выше) должен их пропускать > независимо от блокирующего правила "block in on $dmz ..." > > Почему так? > > По умолчанию state-policy=floating, т.е. по идее вышеприведенный state > не привязан к интерфейсу и значит должен пропускать обратный трафик > (echo reply с 172.16.1.10 на 192.168.10.3). Ан нет. > > -- > Victor Sudakov, VAS4-RIPE, VAS47-RIPN > 2:5005/49@fidonet http://vas.tomsk.ru/ > _______________________________________________ > freebsd mailing list > [email protected] > http://mailman.uafug.org.ua/mailman/listinfo/freebsd >
_______________________________________________ freebsd mailing list [email protected] http://mailman.uafug.org.ua/mailman/listinfo/freebsd
