Why this ipf rule does not work？

edwardj

ipf 3.4.31，規(guī)則如下：

1. 
   
2. @1 pass out from any to any
   
3. @1 pass in from any to any
   
4. @2 block return-rst in log quick proto tcp from any to any port 135 >;< 139
   
5. @3 block return-rst in log quick proto tcp from any to any port = 445
   
6. @4 block return-icmp-as-dest(port-unr) in log quick proto udp from any to any port 135 >;< 139
   
7. @5 block return-icmp-as-dest(port-unr) in log quick proto udp from any to any port = 445
   

復(fù)制代碼

偶發(fā)現(xiàn)這條規(guī)則不起作用

1. 
   
2. @2 block return-rst in log quick proto tcp from any to any port 135 >;< 139
   

復(fù)制代碼

如果把上面那條規(guī)則改成如下5條單獨(dú)的規(guī)則，則正常Block

1. 
   
2.   block return-rst in log quick proto tcp from any to any port 135
   
3.   block return-rst in log quick proto tcp from any to any port 136
   
4.   block return-rst in log quick proto tcp from any to any port 137
   
5.   block return-rst in log quick proto tcp from any to any port 138
   
6.   block return-rst in log quick proto tcp from any to any port 139
   

復(fù)制代碼

而同樣使用Port range，這條規(guī)則就可以

1. 
   
2. @4 block return-icmp-as-dest(port-unr) in log quick proto udp from any to any port 135 >;< 139
   

復(fù)制代碼

難道Port range對(duì)TCP規(guī)則無(wú)效？

edwardj

沒(méi)有人知道嗎？

edwardj

網(wǎng)絡(luò)結(jié)構(gòu)

1. 
   
2.                                                          --->;Internet<---
   
3.                                                  ___/                          \___
   
4.                                                FTTB                        Sync Serial Line
   
5. Internal Network          218.x1.y1.z1/29                61.x3.y3.z4/30
   
6.   10.0.0.0/24                             |                                       |
   
7.           |                                      |                                       |s0/0
   
8.           |                                      |                             [Cisco Router]
   
9.           |                                      |                            61.x2.y2.z3/29
   
10.           |                                    xl1                                      |e0/0
    
11.           |                                      |                                       |
    
12.    [Switch1]                    [FreeBSD BOX]                      [Switch2]
    
13.           |_______________|              |________________|
    
14.                         10.0.0.2/24              61.x2.y2.z2/29
    
15.                                       xl0              xl2
    

復(fù)制代碼

edwardj

1. 
   
2.   block   return-icmp(net-unr) in log quick on xl1 from any to 61.x2.y2.z/29
   

復(fù)制代碼

改為xl2的out規(guī)則，可以正常屏蔽對(duì)61.x2.y2.z/29網(wǎng)段的訪問(wèn)。

但為什么作為xl1的輸入規(guī)則不可以？

syzlmr

第一個(gè)問(wèn)題:port range支援tcp,所以我也覺(jué)得很奇怪,我試試看
  第二個(gè)問(wèn)題l1應(yīng)該不能掌控61.x2.y2.z/29才是

edwardj

原帖由 "syzlmr" 發(fā)表：
第一個(gè)問(wèn)題:port range支援tcp,所以我也覺(jué)得很奇怪,我試試看
  第二個(gè)問(wèn)題l1應(yīng)該不能掌控61.x2.y2.z/29才是

1. Thanks。
2. “不能掌控”您指的是什么？不能對(duì)通往 61.x2.y2.z/29 網(wǎng)段的數(shù)據(jù)包過(guò)慮么？如果是這樣，那 ipf 還有什么意義？

如果不是這樣，那這條規(guī)則作為 xl1 的 input-filter 應(yīng)該怎樣寫？

偶的網(wǎng)絡(luò)中，61.x2.y2.z2/29 這條鏈路以前是不存在的，61.x2.y2.z/29 這個(gè)網(wǎng)段里的機(jī)器，通過(guò) 61.x3.y3.z4/30 這條 Sync Serial Line（128K DDN） 進(jìn)出，帶寬較小，影響業(yè)務(wù)。

后來(lái)添加了 61.x2.y2.z2/29 這條鏈路，而上級(jí) ISP 的路由表偶不能控制，所以，現(xiàn)在 61.x2.y2.z/29 網(wǎng)段的入站流量由 61.x3.y3.z4/30 這條 128K DDN 進(jìn)入，出站流量通過(guò) FreeBSD 路由后，由 218.x1.y1.z1/29 這條 100M 的 FTTB 鏈路到達(dá) ISP。

而上面說(shuō)過(guò)，ISP 的路由表內(nèi)沒(méi)有通過(guò) 218.x1.y1.z1/29 這條鏈路到達(dá) 61.x2.y2.z/29 路由信息，因此，任何從 xl1 進(jìn)入的，目的地為 61.x2.y2.z/29 網(wǎng)段的數(shù)據(jù)包都是非法的。因此，偶要寫這條規(guī)則。

而偶不愿意把這條規(guī)則寫成 xl2 的 output filter 的原因在于：如果這么寫，每個(gè)從 xl1 進(jìn)入的，目的地為 61.x2.y2.z/29 網(wǎng)段的非法數(shù)據(jù)包，在 IPF 處理過(guò)后，還要交給 Kernel，進(jìn)行進(jìn)一步處理。而在這種非法數(shù)據(jù)流量非常大的情況下（攻擊），狠可能把 FreeBSD 拖垮。而作為 xl1 的 input-filter，就不需要 Kernel 的進(jìn)一步處理，情況會(huì)好很多。

edwardj

up

syzlmr

block return-rst in log quick proto tcp from any to any port 135 >;< 139

這一條規(guī)則經(jīng)過(guò)測(cè)試後是有效的,ipmon的紀(jì)錄中有檔住135的tcp封包(確定有效)

原帖由 "edwardj" 發(fā)表：


2. “不能掌控”您指的是什么？不能對(duì)通往 61.x2.y2.z/29 網(wǎng)段的數(shù)據(jù)包過(guò)慮么？如果是這樣，那 ipf 還有什么意義？
.

我說(shuō)這樣有點(diǎn)不適當(dāng),當(dāng)然xl1可以擋住61.x2.y2.z/29 ,請(qǐng)問(wèn)您說(shuō)那條規(guī)則無(wú)效,這樣的說(shuō)法是在什麼環(huán)境驗(yàn)證的?

wofeifei

這個(gè)問(wèn)題我也覺(jué)得很奇怪啊!
到底最后在xl1上得ipf的規(guī)則行不?