Почти пустой пф.conf все еще регистрирует пакеты
У меня проблема из-за того, что мой pf регистрирует много пакетов, которые не должны регистрироваться. Я воспроизвел его с почти пустым файлом pf.conf:
set skip on lo
, но он все еще регистрирует некоторые пакеты. Я думаю, что все эти пакеты имеют тип ICMP6 и на самом деле они не принадлежат моему компьютеру, я понятия не имею, почему я их получаю, но у меня нет контроля над ним.
Вот пример пакета (полученного с помощью tcpdump on pflog0):
13:18:29.211678 rule def/(match) pass in on vio0: fe80::3ad5:47ff:fe75:1a2b > ff02::1:ff75:1a2b: HBH icmp6: multicast listener report [hlim 1]
, поэтому мой вопрос: где я могу прочитать об этих правилах сопоставления по умолчанию и как отключить эти журналы.
Я попытался явно сопоставить эти пакеты с чем-то вроде , переданного на vio0 (без записи в журнал), но они все еще регистрируются, вероятно, из-за того загадочного совпадения по умолчанию, которое отмечает пакет для регистрации.
Понятия не имею, почему я их получаю
Это многоадресный трафик.
где я могу прочитать об этих правилах сопоставления по умолчанию
Ну, в целом, это частично задокументирован , но это не так очевидно связано с проблемой, с которой вы сталкиваетесь.
Из man pf.conf ( разметка является моей):
…
allow-opts - По умолчанию пакеты с опциями IPv4 или IPv6 поэтапно или заголовок опций назначения блокируются . Когда для правила передачи указано значение allow-opts, пакеты, прошедшие фильтр на основе этого правила (последнее совпадение), делают это, даже если они содержат параметры.
…
- HBH вы наблюдение в журналах - это именно то, что «шаг за шагом».
Моя теория такова: Разработчики Pf решили, что поскольку такой трафик должен блокироваться, даже если существует правило прохода ( который, по-видимому, присутствует по умолчанию в вашем случае), было бы разумно доносить до более жесткого свистка, поэтому вы регистрируете его.
и как мне отключить эти журналы
Как предлагается на странице руководства, вы можете исправить это, введя правило pass с явным указанием allow-opts :
pass allow-opts