forum.opennet.ru - "OpenBSD 4.8 не натятся 'icmp port unreachable'" (5)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"OpenBSD 4.8 не натятся 'icmp port unreachable'"

Форум Информационная безопасность (OpenBSD PF / OpenBSD)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"OpenBSD 4.8 не натятся 'icmp port unreachable'"	+/–
Сообщение от vasiavasia (ok) on 09-Фев-11, 10:41
Здравствуйте, может кто нибудь подсказать что происходит..., (OpenBSD4.8) правила: int_if - внутр ext_if - внешн block all pass proto icmp from any to any pass on $ext_if from 192.168.10.95 to any binat-to 195.138.2.35 pass quick on $int_if pass out quick on $ext_if делаю трасерт с наружи(freedsd) tcpdump -vni bge0 host 95.26.225.168 95.26.225.168.60063 > 195.138.2.35.33465: [udp sum ok] udp 12 (ttl 3, id 60094, len 40) 192.168.10.95 > 95.26.225.168: icmp: 195.138.2.35 udp port 33465 unreachable (ttl 126, id 9246, len 68, bad cksum 0!) 95.26.225.168.60063 > 195.138.2.35.33466: [udp sum ok] udp 12 (ttl 3, id 60095, len 40) 192.168.10.95 > 95.26.225.168: icmp: 195.138.2.35 udp port 33466 unreachable (ttl 126, id 9247, len 68, bad cksum 0!) тоесть ответ внутренней машины (192.168.10.95) "udp port unreachable" не натится, в остальном всё нормально, с виндовых машин трасерт красивый. Это что, новая фенечка OpenBSD ? и где что можно/нужно включить что бы разрешить натить эти "ответы" ?
Ответить \| Правка \| Cообщить модератору

Оглавление

OpenBSD 4.8 не натятся 'icmp port unreachable', guest, 12:04 , 09-Фев-11, (1)

OpenBSD 4.8 не натятся 'icmp port unreachable', vasiavasia, 12:45 , 09-Фев-11, (2)

OpenBSD 4.8 не натятся 'icmp port unreachable', guest, 13:17 , 09-Фев-11, (3)

OpenBSD 4.8 не натятся 'icmp port unreachable', vasiavasia, 13:40 , 09-Фев-11, (4)

OpenBSD 4.8 не натятся 'icmp port unreachable', guest, 13:54 , 09-Фев-11, (5)

Сообщения по теме [Сортировка по времени | RSS]

1. "OpenBSD 4.8 не натятся 'icmp port unreachable'" +/–

Сообщение от guest (??) on 09-Фев-11, 12:04

> pass on $ext_if from 192.168.10.95 to any binat-to 195.138.2.35
К сожалению опенька под рукой сейчас нет и проверить сам не могу.
Мне кажется что в эту строчку автоматом добавиться flags S/SA
т.е. посмотрите pfctl -sr возможно icmp не попадает под это правило

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "OpenBSD 4.8 не натятся 'icmp port unreachable'" +/–

Сообщение от vasiavasia (ok) on 09-Фев-11, 12:45

> Мне кажется что в эту строчку автоматом добавиться flags S/SA
pass on $ext_if proto {icmp,udp,tcp} from 192.168.10.95 to any binat-to 195.138.2.35
pfctl -s rule
pass out on bge0 inet proto icmp from 192.168.10.95 to any keep state nat-to 195.138.2.35 static-port
pass in on bge0 inet proto icmp from any to 195.138.2.35 keep state rdr-to 192.168.10.95
pass in on bge0 inet proto udp from any to 195.138.2.35 keep state rdr-to 192.168.10.95
pass in on bge0 inet proto tcp from any to 195.138.2.35 flags any keep state rdr-to 192.168.10.95
pass out on bge0 inet proto udp from 192.168.10.95 to any keep state nat-to 195.138.2.35 static-port
pass in on bge0 inet proto udp from any to 195.138.2.35 keep state rdr-to 192.168.10.95
pass in on bge0 inet proto tcp from any to 195.138.2.35 flags any keep state rdr-to 192.168.10.95
pass out on bge0 inet proto tcp from 192.168.10.95 to any flags S/SA keep state nat-to 195.138.2.35 static-port
pass in on bge0 inet proto tcp from any to 195.138.2.35 flags S/SA keep state rdr-to 192.168.10.95

те-же яйца, не натит
12:43:07.511104 95.26.225.168.60321 > 195.138.2.35.33625: udp 12
12:43:07.512144 192.168.10.95 > 95.26.225.168: icmp: 195.138.206.35 udp port 33625 unreachable
12:43:12.513218 95.26.225.168.60321 > 195.138.2.35.33626: udp 12
12:43:12.514194 192.168.10.95 > 95.26.225.168: icmp: 195.138.206.35 udp port 33626 unreachable

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "OpenBSD 4.8 не натятся 'icmp port unreachable'" +/–

Сообщение от guest (??) on 09-Фев-11, 13:17

> те-же яйца, не натит
а что если в качестве черной магии попробовать для icmp no state поставить?
PS:
Вообще помниться где-то на прошлой неделе в их рассылке проскакивало, что тоже самое для ipv6 правили)

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "OpenBSD 4.8 не натятся 'icmp port unreachable'" +/–

Сообщение от vasiavasia (ok) on 09-Фев-11, 13:40

"no state"
не катит с правилом nat
nat-to and rdr-to require keep state
>> Вообще помниться где-то на прошлой неделе в их рассылке проскакивало, что тоже самое для ipv6 правили)
не подскажите где это можно почитать ?

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "OpenBSD 4.8 не натятся 'icmp port unreachable'" +/–

Сообщение от guest (??) on 09-Фев-11, 13:54

> "no state"
> не катит с правилом nat
> nat-to and rdr-to require keep state
Но по крайней мере для новомоднего синтаксиса через match pfctl -sr keep state не показывает. А как оно на самом деле работает я не знаю(
> не подскажите где это можно почитать ?
Было в tech@
Извините с ходу не нагуглилось. я в своей гугло-почте читаю.
1е письмо треда:
Message-ID: <20110202151401.GA22787@valkyrie.hq.vantronix.net>

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "OpenBSD 4.8 не натятся 'icmp port unreachable'"	+/–
Сообщение от guest (??) on 09-Фев-11, 12:04
> pass on $ext_if from 192.168.10.95 to any binat-to 195.138.2.35 К сожалению опенька под рукой сейчас нет и проверить сам не могу. Мне кажется что в эту строчку автоматом добавиться flags S/SA т.е. посмотрите pfctl -sr возможно icmp не попадает под это правило
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "OpenBSD 4.8 не натятся 'icmp port unreachable'"	+/–
	Сообщение от vasiavasia (ok) on 09-Фев-11, 12:45
	> Мне кажется что в эту строчку автоматом добавиться flags S/SA pass on $ext_if proto {icmp,udp,tcp} from 192.168.10.95 to any binat-to 195.138.2.35 pfctl -s rule pass out on bge0 inet proto icmp from 192.168.10.95 to any keep state nat-to 195.138.2.35 static-port pass in on bge0 inet proto icmp from any to 195.138.2.35 keep state rdr-to 192.168.10.95 pass in on bge0 inet proto udp from any to 195.138.2.35 keep state rdr-to 192.168.10.95 pass in on bge0 inet proto tcp from any to 195.138.2.35 flags any keep state rdr-to 192.168.10.95 pass out on bge0 inet proto udp from 192.168.10.95 to any keep state nat-to 195.138.2.35 static-port pass in on bge0 inet proto udp from any to 195.138.2.35 keep state rdr-to 192.168.10.95 pass in on bge0 inet proto tcp from any to 195.138.2.35 flags any keep state rdr-to 192.168.10.95 pass out on bge0 inet proto tcp from 192.168.10.95 to any flags S/SA keep state nat-to 195.138.2.35 static-port pass in on bge0 inet proto tcp from any to 195.138.2.35 flags S/SA keep state rdr-to 192.168.10.95 те-же яйца, не натит 12:43:07.511104 95.26.225.168.60321 > 195.138.2.35.33625: udp 12 12:43:07.512144 192.168.10.95 > 95.26.225.168: icmp: 195.138.206.35 udp port 33625 unreachable 12:43:12.513218 95.26.225.168.60321 > 195.138.2.35.33626: udp 12 12:43:12.514194 192.168.10.95 > 95.26.225.168: icmp: 195.138.206.35 udp port 33626 unreachable
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "OpenBSD 4.8 не натятся 'icmp port unreachable'"	+/–
	Сообщение от guest (??) on 09-Фев-11, 13:17
	> те-же яйца, не натит а что если в качестве черной магии попробовать для icmp no state поставить? PS: Вообще помниться где-то на прошлой неделе в их рассылке проскакивало, что тоже самое для ipv6 правили)
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "OpenBSD 4.8 не натятся 'icmp port unreachable'"	+/–
	Сообщение от vasiavasia (ok) on 09-Фев-11, 13:40
	"no state" не катит с правилом nat nat-to and rdr-to require keep state >> Вообще помниться где-то на прошлой неделе в их рассылке проскакивало, что тоже самое для ipv6 правили) не подскажите где это можно почитать ?
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "OpenBSD 4.8 не натятся 'icmp port unreachable'"	+/–
	Сообщение от guest (??) on 09-Фев-11, 13:54
	> "no state" > не катит с правилом nat > nat-to and rdr-to require keep state Но по крайней мере для новомоднего синтаксиса через match pfctl -sr keep state не показывает. А как оно на самом деле работает я не знаю( > не подскажите где это можно почитать ? Было в tech@ Извините с ходу не нагуглилось. я в своей гугло-почте читаю. 1е письмо треда: Message-ID: <20110202151401.GA22787@valkyrie.hq.vantronix.net>
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору