Why this ipf rule does not work？

edwardj

ipf 3.4.31，规则如下：

1. 
   
2. @1 pass out from any to any
   
3. @1 pass in from any to any
   
4. @2 block return-rst in log quick proto tcp from any to any port 135 >;< 139
   
5. @3 block return-rst in log quick proto tcp from any to any port = 445
   
6. @4 block return-icmp-as-dest(port-unr) in log quick proto udp from any to any port 135 >;< 139
   
7. @5 block return-icmp-as-dest(port-unr) in log quick proto udp from any to any port = 445
   

复制代码

偶发现这条规则不起作用

1. 
   
2. @2 block return-rst in log quick proto tcp from any to any port 135 >;< 139
   

复制代码

如果把上面那条规则改成如下5条单独的规则，则正常Block

1. 
   
2.   block return-rst in log quick proto tcp from any to any port 135
   
3.   block return-rst in log quick proto tcp from any to any port 136
   
4.   block return-rst in log quick proto tcp from any to any port 137
   
5.   block return-rst in log quick proto tcp from any to any port 138
   
6.   block return-rst in log quick proto tcp from any to any port 139
   

复制代码

而同样使用Port range，这条规则就可以

1. 
   
2. @4 block return-icmp-as-dest(port-unr) in log quick proto udp from any to any port 135 >;< 139
   

复制代码

难道Port range对TCP规则无效？

edwardj

没有人知道吗？

edwardj

网络结构

1. 
   
2.                                                          --->;Internet<---
   
3.                                                  ___/                          \___
   
4.                                                FTTB                        Sync Serial Line
   
5. Internal Network          218.x1.y1.z1/29                61.x3.y3.z4/30
   
6.   10.0.0.0/24                             |                                       |
   
7.           |                                      |                                       |s0/0
   
8.           |                                      |                             [Cisco Router]
   
9.           |                                      |                            61.x2.y2.z3/29
   
10.           |                                    xl1                                      |e0/0
    
11.           |                                      |                                       |
    
12.    [Switch1]                    [FreeBSD BOX]                      [Switch2]
    
13.           |_______________|              |________________|
    
14.                         10.0.0.2/24              61.x2.y2.z2/29
    
15.                                       xl0              xl2
    

复制代码

edwardj

1. 
   
2.   block   return-icmp(net-unr) in log quick on xl1 from any to 61.x2.y2.z/29
   

复制代码

改为xl2的out规则，可以正常屏蔽对61.x2.y2.z/29网段的访问。

但为什么作为xl1的输入规则不可以？

syzlmr

第一個問題:port range支援tcp,所以我也覺得很奇怪,我試試看
  第二個問題l1應該不能掌控61.x2.y2.z/29才是

edwardj

原帖由 "syzlmr" 发表：
第一個問題:port range支援tcp,所以我也覺得很奇怪,我試試看
  第二個問題l1應該不能掌控61.x2.y2.z/29才是

1. Thanks。
2. “不能掌控”您指的是什么？不能对通往 61.x2.y2.z/29 网段的数据包过虑么？如果是这样，那 ipf 还有什么意义？

如果不是这样，那这条规则作为 xl1 的 input-filter 应该怎样写？

偶的网络中，61.x2.y2.z2/29 这条链路以前是不存在的，61.x2.y2.z/29 这个网段里的机器，通过 61.x3.y3.z4/30 这条 Sync Serial Line（128K DDN） 进出，带宽较小，影响业务。

后来添加了 61.x2.y2.z2/29 这条链路，而上级 ISP 的路由表偶不能控制，所以，现在 61.x2.y2.z/29 网段的入站流量由 61.x3.y3.z4/30 这条 128K DDN 进入，出站流量通过 FreeBSD 路由后，由 218.x1.y1.z1/29 这条 100M 的 FTTB 链路到达 ISP。

而上面说过，ISP 的路由表内没有通过 218.x1.y1.z1/29 这条链路到达 61.x2.y2.z/29 路由信息，因此，任何从 xl1 进入的，目的地为 61.x2.y2.z/29 网段的数据包都是非法的。因此，偶要写这条规则。

而偶不愿意把这条规则写成 xl2 的 output filter 的原因在于：如果这么写，每个从 xl1 进入的，目的地为 61.x2.y2.z/29 网段的非法数据包，在 IPF 处理过后，还要交给 Kernel，进行进一步处理。而在这种非法数据流量非常大的情况下（攻击），狠可能把 FreeBSD 拖垮。而作为 xl1 的 input-filter，就不需要 Kernel 的进一步处理，情况会好很多。

edwardj

up

syzlmr

block return-rst in log quick proto tcp from any to any port 135 >;< 139

這一條規則經過測試後是有效的,ipmon的紀錄中有檔住135的tcp封包(確定有效)

原帖由 "edwardj" 发表：


2. “不能掌控”您指的是什么？不能对通往 61.x2.y2.z/29 网段的数据包过虑么？如果是这样，那 ipf 还有什么意义？
.

我說這樣有點不適當,當然xl1可以擋住61.x2.y2.z/29 ,請問您說那條規則無效,這樣的說法是在什麼環境驗證的?

wofeifei

这个问题我也觉得很奇怪啊!
到底最后在xl1上得ipf的规则行不?