Sto provando a impostare alcune regole del firewall personalizzate nel firewall pf in macOS (10.11 in questo caso). Si tratta di regole tradizionali basate sulla rete, non regole specifiche dell'applicazione. Sto riscontrando alcuni problemi:
La sintassi sembra abbastanza semplice. Ma le mie regole non funzionano correttamente.
table <VPN> { 192.16.10.1/24 } persist
table <badhosts> persist
block in quick from <badhosts> to any
block in
pass in quick from <VPN> to any flags S/SA keep state
pass in quick proto tcp from any to any port { 25 80 443 587 993 } flags S/SA keep state
pass in quick proto { esp icmp ah } from any to any keep state
pass in quick proto udp from any to any port { 500 1701 4500 } keep state
L'idea è questa:
-
<VPN>riguarda le connessioni in entrata dalla mia VPN, tutto il traffico VPN sarà consentito. -
<badhosts>è il mio elenco aggiunto manualmente di IP che voglio bloccare. - Le ultime tre regole dovrebbero consentire al traffico pubblico di connettersi al mio server web, al server di posta e alle connessioni alla VPN
Avevo inizialmente problemi più grandi, ma mi sono spinto in giro, ho ottenuto un po 'di più e ho modificato questo post.
Stavo ricevendo un errore di sintassi sulla riga block in quick from <badhosts> to any quando era in fondo. L'ho spostato sopra tutte le dichiarazioni pass , gli ho dato una parola chiave quick e non c'è più alcun errore di sintassi. Ma perché causava un errore di sintassi solo dall'essere al di sotto? Sembra che avrebbe dovuto funzionare bene lì.
Ancora più importante, questa configurazione sembra bloccare tutto il traffico e sembra consentire al traffico pubblico di accedere al web e al server di posta. Ma all'improvviso una cosa che non posso fare è connettersi alla VPN (cioè, su un'altra macchina, non riesco a collegarmi a questa macchina che sta facendo girare il server VPN, perché sono fermato dal suo firewall).
Spero che questo sia l'unico problema e che una volta che posso collegarmi alla VPN, la regola relativa al traffico VPN funzionerà come previsto.
La VPN è di tipo L2TP su IPSec. Devo mancare qualche bandiera o protocollo dispari usati per la VPN ma non so cosa sia.