1 votos

John avatar

pf.conf para bloquear *sólo* una dirección IP específica cuando VPN no está conectado

Preguntado el 27 de Marzo, 2018
Cuando se hizo la pregunta
173 visitas
Cuantas visitas ha tenido la pregunta
1 Respuestas
Cuantas respuestas ha tenido la pregunta
Resuelta
Estado actual de la pregunta

Estoy tratando de configurar un filtro de paquetes firewall para bloquear el acceso a un pequeño rango de direcciones IP cuando un VPN no está conectado.

Mis reglas deben permitir https/http tráfico aparte de este pequeño, específicos de la lista de direcciones IP. Es importante que el dispositivo no puede llegar a estos de la dirección IP cuando el VPN no está conectado.

Estoy utilizando el construido en macOS VPN en 10.13

Tengo algunas bastante estándar cosas en mis reglas:

vpn_ifs = "{ utun1 ipsec0 }"
hw_ifs = "{ en0 en1 en2 }"
...
pass quick on $vpn_ifs

El motivo de mi petición es que tengo una web basada recurso que sólo puede acceder una vez que el VPN está conectado. Lo cual permite la conectividad a este recurso antes de la VPN está conectado inhabilita el acceso a mi cuenta.

Necesito de acceso para el tráfico http y https antes de la VPN se estableció para permitir a los servicios que necesitan para funcionar antes de la conexión VPN. Incluyendo, pero no limitado a, portal cautivo de apoyo.

Preguntado el 27 de Marzo, 2018 por John

Respuesta

¿Demasiados anuncios?

0voto

klanomath avatar
klanomath Puntos 19587

Cada paquete se evalúa en contra de las reglas de filtrado de arriba a abajo y la última regla de correspondencia es el que gana. La rápida de palabras clave es la única excepción: el paquete será bloqueado o se pasa inmediatamente sin inmutarse por cualquier regla.

Asumiendo que usted está utilizando el negar toda enfoque se tienen que permitir explícitamente paquetes a pasar dentro o fuera.

Conjunto de reglas:

block all
...

Para cumplir con su "basado en la web de recursos de" el requisito de haber rápida para permitir/denegar paquetes dependiendo de la interfaz:

pass out quick on $vpn_ifs from any to { <web_res1>, <web_res2> } no state  
block out quick on $hw_ifs from any to { <web_res1>, <web_res2> } no state

Para cumplir con su "el tráfico http y https" requisito, usted tiene que permitir el tráfico saliente en el puerto 80/443:

pass out on $hw_ifs from any to any port { 80, 443 }

El uso de los denegar todo el planteamiento que usted ha de añadir más reglas (por ejemplo, para permitir el tráfico desde/hacia redes locales).

El último conjunto de reglas que se parece a esto a continuación:

block all
...
rules
...
pass out quick on $vpn_ifs from any to { <web_res1>, <web_res2> } no state  
block out quick on $hw_ifs from any to { <web_res1>, <web_res2> } no state
...
pass out on $hw_ifs from any to any port { 80, 443 }
...
more rules

Aquí está un ejemplo de un denegar todos los pf.conf con un montón de reglas, explicó. Las reglas se utilizan en un FreeBSD Puerta de enlace, sin embargo: algunos no debe ser aplicada o no son útiles en su entorno. Solo las reglas no funcionan en absoluto (por ejemplo, ALTQ características relacionadas).

Respondido el 29 de Marzo, 2018 por klanomath (19587 Puntos )

Preguntas relacionadas

Preguntas Destacadas

Etiquetas mas usadas

En nuestra red

AppleAyuda.com

AppleAyuda es una comunidad de usuarios de los productos de Apple en la que puedes resolver tus problemas y dudas.
Puedes consultar las preguntas de otros usuarios, hacer tus propias preguntas o resolver las de los demás.

Powered by:

Yandex
X