FreeBSD и PF — почему не работает блокировка портов?

Question

[tentakle]

ports="{20 21 22 25 53 80 110 143 443 514 3306 8080}"

set block-policy return
set skip on lo0

scrub in all

rdr on de0 inet proto tcp from any to any port 80 -> 10.0.0.3 port 3128

block all
pass out on de0 from any to any
pass in on de0 proto {tcp, udp} to port $ports

Пацаны, почему не работает?

Answer 1

[Глеб Богданов]

Во-первых, уточните какие порты вы блокируете: указанные $ports или все остальные, кроме них.
Во-вторых, при написании правил надо учитывать факт того, что PF прочитывает правила сверху вниз до последнего совпадающего. Для того чтобы какое-либо исключительное правило блокировки или разрешения сработало раньше, надо добавить quick on.
block quick on de0 from .. to ..

Comments

[tentakle]

Блокирую все порты, кроме $ports
Вообще цель - заблокировать торрент. Но, если я блокирую все порты кроме 1:1024, то, например, яндекс и хабр не открываются.

[Глеб Богданов]

Есть опыт в достижении той же цели. К сожалению, блокирование p2p проработано и осуществлено в IPTABLES (спец модуль маркирует p2p трафик). Но у меня, как и у вас очевидно, был интерес в FreeBSD. Для PF ничего подобного нет. Однако можно пойти другим достаточно эффективным путем: если добавить поддержку ALTQ для PF в ядре, то у вас откроется возможность регулировать скорость в составляемых правилах. Сделайте мизерную скорость для p2p и потребность в торрентах у клиентов отпадет.

[tentakle]

Было дело, я делал подобный конфиг, с блокированием всех портов кроме некоторых, и торрент траффик блокировался. Но дело было давно и я, к сожалению, позабыл все. Сейчас пытаюсь восстановить все, но вот неудачно.
Может вы просто подскажете, почему не открывается хабр и яндек, если блокируются порты выше 1024? Или почему вообще не работает этот конфиг?

[Глеб Богданов]

У вас трафик, как я понимаю, идет через прокси, разрешите доступ по всем портам для прокси сервера.
block in
block out
pass quick on de0 proto {tcp, udp} from 10.0.0.3 to any
pass quick on de0 proto {tcp, udp} from any to any port $ports