PF 可以瞒过网络奇兵吗?

hzl88688 · 发表于 2006-5-2 13:33:04

去测试下老大的这个修改版！很完美哟！
http://www.routerclub.com/thread-13504-1-1.html

sorrow · 发表于 2006-5-10 15:04:31

原帖由 hzl88688 于 2006-4-30 23:42 发表
你的规则是不是写入了这句：scrub out on $EXT_NIC all fragment reassemble random-id no-df
改一改看看：scrub on $EXT_NIC all fragment reassemble reassemble tcp random-id no-df min-ttl 142 ma ...

试了你的语句，还是给封了。

sorrow · 发表于 2006-5-10 15:06:47

原帖由 hzl88688 于 2006-5-2 13:33 发表
去测试下老大的这个修改版！很完美哟！
http://www.routerclub.com/thread-13504-1-1.html

刚刚搞了一个中午，用了你的光盘版，重新找了一个硬盘，只分了100M，现在在试用了15分钟左右，
还没发现问题，希望以后也可以正常。目前没有修改里面的自定义规则，需要改什么吗？谢谢！

hzl88688 · 发表于 2006-5-10 20:33:36

不用修改规则了！我做的光盘版好用吗？提些建议！

sorrow · 发表于 2006-5-10 20:55:43

到目前为止没用BT，但还正常，不会断线，谢谢了：）
什么原理呢？呵呵

sorrow · 发表于 2006-5-11 16:04:58

用到现在没问题，请问用什么原理呢？只是修改了ttl为128吗？其他的呢？
另外贴出我的pf.conf，希望可以探讨一下。

ext_if="tun0"
int_if="rl1"
loop="lo0"
tcp_services = "22"
internal_net="192.168.0.0/24"
external_addr="192.168.10.3"
squid="192.168.0.1"

set block-policy return
set loginterface $ext_if

scrub on $ext_if all fragment reassemble reassemble tcp random-id no-df min-ttl 128 max-mss 1400

rdr on $int_if proto tcp from $internal_net to any port http -> $squid port 3128
rdr on $ext_if inet proto tcp from any to ($ext_if) port 6251 -> 192.168.0.18

block return-rst out on $ext_if proto tcp all
block return-rst in on $ext_if proto tcp all
block return-icmp out on $ext_if proto udp all
block return-icmp in on $ext_if proto udp all
block all
pass quick on $loop all

block in quick proto tcp all flags SF/SFRA
block in quick proto tcp all flags SFUP/SFRAU
block in quick proto tcp all flags FPU/SFRAUP
block in quick proto tcp all flags /SFRA
block in quick proto tcp all flags F/SFRA
block in quick proto tcp all flags U/SFRAU

block in quick on $ext_if inet proto icmp all icmp-type 8 code 0
pass out on $ext_if inet proto icmp all icmp-type 8 code 0 keep state

pass in on $ext_if inet proto tcp from any to 192.168.0.18 port 6251 keep state

block drop in quick on $ext_if from $internal_net to any
block drop out quick on $ext_if from any to $internal_net
pass in on $ext_if inet proto tcp from any to ($ext_if) port $tcp_services flags S/SA keep state
pass in on $int_if from $int_if:network to any keep state
pass out on $int_if from any to $int_if:network keep state

pass out on $ext_if proto tcp all modulate state flags S/SA
pass out on $ext_if proto { udp, icmp } all keep state

Danger_Port="{445 135 139 593 5554 9995 9996}"
block quick on $int_if inet proto tcp from any to any port $Danger_Port
block quick on $ext_if inet proto tcp from any to any port $Danger_Port

block log quick on $ext_if inet proto tcp from any to any flags FUP/FUP
block quick on $ext_if inet proto tcp from any to any flags SF/SFRA
block quick on $ext_if inet proto tcp from any to any flags /SFRA
block quick on $ext_if os NMAP

noroute="{127.0.0.1/8,127.16.0.0/12,10.0.0/8,255.255.255.255/32}"
antispoof quick for $int_if inet
block quick on $ext_if inet from $noroute to any
block quick on $ext_if inet from any to $noroute

hzl88688 · 发表于 2006-5-11 22:25:45

PF防火墙可能不行，PF只是改了IPID为随机的，不能改其它的IP包数据，每台机出去还是有自已的指纹特征，还是很容易被探测出来，我使用NAMP每次都被探测出来自已的操作系统类型！
要避过网络尖兵，需要改很多IP包头数据：IPID,TTL及TCP SYN,COOKING等，太美老大做的这个尖兵模块是自已在核心层编程的！

sorrow · 发表于 2006-5-12 09:12:39

那就大大的郁闷了，最喜欢FreeBSD了，不知道ipfilter那些行不行

sorrow · 发表于 2006-5-13 10:44:25

早上用BT和eMule下载了一个多小时，后来打不开网页，也打不开coyote的管理网页，用ssh也不能连接，提示：
Unable to open connection to
192.168.0.1
Network error:No buffer space available
但是BT和eMule正常下载，telnet上BBS也正常。系统没有断线。
后来把BT和eMule停止了，同样不能打开网页，但是ssh正常，telnet上BBS也正常，只好重启coyote，重启后正常。

[ 本帖最后由 sorrow 于 2006-5-13 10:47 编辑 ]

hzl88688 · 发表于 2006-5-13 12:40:59

内存太小了，BT和eMule太耗资源，路由是已经有P2P控制协议，你也可以用L7layer控制，路由上已经有了，你只要登录http://192.168.0.1:8180 ,然后点 QoS-L7 package, 选中YES ---SUBMIT-----QOS-l7 Filters Configuration
-----Create new QoS-L7 filter ------SLOW-----Layer7 protocol (选择bittorrent和edonkey)-----提交------备份－－－－重启

sorrow · 发表于 2006-5-13 17:55:52

不可能太小了吧，我可是256M的内存啊，而且就带我一部机子上网，其他的没有开，而且我不需要限制bt的下载

hzl88688 · 发表于 2006-5-13 21:08:18

用的是什么网卡？

sorrow · 发表于 2006-5-14 11:23:33

8139，以前用debian＋iptables＋squid或freebsd＋pf＋squid＋bind都不会有问题，而且几部windowd的机子一起bt也很正常，装debian或freebsd的是同一部机子，现在只是换了个硬盘，其他配置没有变化。说个大概配置：
赛扬 1.3G
sdram 256M
815主板
8139 X 2
CDROM
希捷 40G（原来的）
希捷 4.3G（现在装cotoye）

sorrow · 发表于 2006-5-17 14:07:32

装了pfsense beta3，用默认的设置，给封了，用了srcub语句，其他没有改，还是不行

ml2hs · 发表于 2006-5-30 16:34:35

嗨,确实光用srcub 不行.
用了快一个月,昨天电信的提示又来了;
奇怪的是今天又没有了?????
没有更改pf.conf

不过,因为是用电信和铁通的adsl 双路均衡出去,电信提示时一般重新刷两遍就可以了,

账号		自动登录	找回密码
密码			注册

PF 可以瞒过网络奇兵吗?

回复 #14 sorrow 的帖子

回复 #18 sorrow 的帖子

回复 #24 sorrow 的帖子

回复 #26 sorrow 的帖子