Firewall attivo. Ho bloccato l'IP 93.184.220.29 con PF ma è ancora disponibile in netstat -n

0

Il firewall è attivo. Ho bloccato l'IP 93.184.220.29 con PF ma è ancora disponibile in netstat -n. Com'è possibile?

jen:~ jen$ sudo pfctl -t blockedips -T show
Password:
No ALTQ support in kernel
ALTQ related functions disabled
   93.184.220.29

Output di

netstat -n

tcp4       0      0  192.168.2.4.51402      93.184.220.29.80       ESTABLISHED
tcp4       0      0  192.168.2.4.51401      93.184.220.29.80       ESTABLISHED

Output di

 sudo pfctl -s all
Password:
No ALTQ support in kernel
ALTQ related functions disabled
TRANSLATION RULES:
nat-anchor "com.apple/*" all
rdr-anchor "com.apple/*" all

FILTER RULES:
scrub-anchor "com.apple/*" all fragment reassemble
anchor "com.apple/*" all
block drop quick on ALL proto tcp from any to any port = 80
block drop quick on ALL proto udp from any to any port = 80

DUMMYNET RULES:
dummynet-anchor "com.apple/*" all

Output di:

sudo pfctl -vvv -s all
Password:
No ALTQ support in kernel
ALTQ related functions disabled
TRANSLATION RULES:
@0 nat-anchor "com.apple/*" all
  [ Owner : nil          Priority : 0     ]
  [ Evaluations: 179894    Packets: 0         Bytes: 0           States: 0     ]
  [ Inserted: uid 0 pid 68 ]
@0 rdr-anchor "com.apple/*" all
  [ Owner : nil          Priority : 0     ]
  [ Evaluations: 574091    Packets: 0         Bytes: 0           States: 0     ]
  [ Inserted: uid 0 pid 68 ]

FILTER RULES:
@0 scrub-anchor "com.apple/*" all fragment reassemble
  [ Owner : nil          Priority : 0     ]
  [ Evaluations: 1133714   Packets: 0         Bytes: 0           States: 0     ]
  [ Inserted: uid 0 pid 68 ]
@0 anchor "com.apple/*" all
  [ Owner : nil          Priority : 0     ]
  [ Evaluations: 574091    Packets: 0         Bytes: 0           States: 0     ]
  [ Inserted: uid 0 pid 68 ]
@1 block drop inet from any to 93.184.220.29
  [ Owner : nil          Priority : 0     ]
  [ Evaluations: 574091    Packets: 812       Bytes: 51968       States: 0     ]
  [ Inserted: uid 0 pid 68 ]
@2 block drop inet from any to 93.184.220.70
  [ Owner : nil          Priority : 0     ]
  [ Evaluations: 573678    Packets: 210       Bytes: 13152       States: 0     ]
  [ Inserted: uid 0 pid 68 ]
@3 block drop quick on ALL proto tcp from any to any port = 80
  [ Owner : nil          Priority : 0     ]
  [ Evaluations: 574091    Packets: 0         Bytes: 0           States: 0     ]
  [ Inserted: uid 0 pid 68 ]
@4 block drop quick on ALL proto tcp from any to any port = 53
  [ Owner : nil          Priority : 0     ]
  [ Evaluations: 0         Packets: 0         Bytes: 0           States: 0     ]
  [ Inserted: uid 0 pid 68 ]
    
posta jennifer ruurs 29.08.2018 - 12:43
fonte

2 risposte

2

Ho fatto un errore:

Il blocco nell'IP è ottenuto tramite:

Inserire

block drop inet from any to 93.184.220.29
block drop inet from any to 93.184.220.70

 sudo nano /etc/pf.conf
    
risposta data 29.08.2018 - 17:41
fonte
1

Mio amico, il tuo netstat mi dice che la tua macchina è connessa alla solita porta del server web sull'host straniero. Probabilmente hai in esecuzione in background un browser web aperto a quell'host.

Successivamente, la sintassi delle regole del filtro non riflette bene le tue intenzioni. Il tuo default eletto per una politica influenzerà il comportamento, insieme ai set di regole. Inoltre, non si può avere una valutazione approfondita senza il file pf.conf e tutti i file di ancoraggio o inclusi ... Meglio ancora se includessi l'output di

sudo pfctl -vvv -s all

se la memoria mi serve bene ...

Il veloce e sporco ...

block in
block out

block in quick all from x.x.x.x to any
block out quick all from any to x.x.x.x

... ma meglio se questi sono stati valutati nel contesto dell'intera configurazione.

F.

    
risposta data 30.08.2018 - 14:31
fonte

Leggi altre domande sui tag