找回密码
 注册

QQ登录

只需一步,快速开始

搜索
查看: 15914|回复: 29

PF 可以瞒过网络奇兵吗?

[复制链接]
发表于 2006-4-4 08:33:51 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有账号?注册

×
最近看PF文档中,看到其中
scrub all    对所有接口上到来的数据包进行流量整形

reassemble tcp
TCP连接状态标准化。当使用了 scrub reassemble tcp时,方向(进/出)不用说明,会执行下面的标准化过程:
+ 连接双方都不允许减少它们的IP TTL值。这样做是为了防止攻击者发送数据包到防火墙,影响防火墙保持的连接状态,使数据包在到达目的主机前就过期。所有数据包的TTL都为了这个连接加到了最大值。
+ 用随机数字调整TCP数据包头中的 RFC1323 时间戳。这可以阻止窃听者推断主机在线的时间和猜测NAT网关后面有多少主机。


回想起以前在软件路由这看到的帖子中看到版主提到过
freebsd可以通过设置绕过网络奇兵,
现在想问问,是否就是这个?
有哪位可以告知一下?
routeros
发表于 2006-4-4 09:25:35 | 显示全部楼层
应该是这样的
routeros
回复

使用道具 举报

 楼主| 发表于 2006-4-4 20:56:59 | 显示全部楼层
有哪位实际用过的吗???
routeros
回复

使用道具 举报

发表于 2006-4-13 17:47:28 | 显示全部楼层
pfsense默认是不是打开PF防火墙?我修改了它的配置文件pf.conf,是不是能够打开它的流量整形,怎么样知道流量整形起作用了?
routeros
回复

使用道具 举报

发表于 2006-4-19 01:02:52 | 显示全部楼层
我修改了pfsense中的PF设置,加入了scrub on {$wanif} reassemble tcp 这一句进去了,不知能不能起作用!
routeros
回复

使用道具 举报

 楼主| 发表于 2006-4-28 11:22:22 | 显示全部楼层

OpenBSD + PF

经过实际使用,可以高兴的宣布,网络奇兵被蒙过去了,哈哈
routeros
回复

使用道具 举报

发表于 2006-4-28 13:54:15 | 显示全部楼层
原帖由 ml2hs 于 2006-4-28 11:22 发表
经过实际使用,可以高兴的宣布,网络奇兵被蒙过去了,哈哈


不奇怪,一定可以的,SCRUB对IP包号什么的都经过重整的.
routeros
回复

使用道具 举报

发表于 2006-4-28 14:12:27 | 显示全部楼层
我这里实验也成功了,电信一直都没有检测出来!我修改的PFSENSE 1.0 BETA 3 的光盘镜象可以上传到论坛吗?
routeros
回复

使用道具 举报

发表于 2006-4-29 16:42:53 | 显示全部楼层
不行的,电信现在使用的设备越来越先进了。目前广东汕尾(海丰、陆丰)、广东东莞和山东烟台网通,中国电信网络尖兵限制上网,限制后出现的症状是:内网的机子QQ可以上,网页无法访问.可以ping到外网和dns服务器地址.
routeros
回复

使用道具 举报

发表于 2006-4-29 16:43:33 | 显示全部楼层
当然,我使用的是freebsd+pf,没有使用PFSENSE。
routeros
回复

使用道具 举报

发表于 2006-4-29 20:03:06 | 显示全部楼层
能否把你的防火墙配置文件贴出来,让大家一起来研究研究!
routeros
回复

使用道具 举报

发表于 2006-4-29 20:11:02 | 显示全部楼层

回复 #9 sorrow 的帖子

你使用太美老大修改过的COYOTELINUX看看,ftp://61.161.79.48/wizard-2.24.0-pers.rar
如能成功,请告诉一声!
routeros
回复

使用道具 举报

发表于 2006-4-30 09:27:51 | 显示全部楼层
现在freebsd没有开,请参考我在freebsdchina这里问的:
http://www.freebsdchina.org/foru ... 7b5adb24dcce0ec8f89
routeros
回复

使用道具 举报

发表于 2006-4-30 11:06:58 | 显示全部楼层
原帖由 hzl88688 于 2006-4-29 20:11 发表
你使用太美老大修改过的COYOTELINUX看看,ftp://61.161.79.48/wizard-2.24.0-pers.rar
如能成功,请告诉一声!



测试了,整个局域网只有一部机可以正常上网,其他的机子是可以ping通外网,网页和qq都上不了。重新加载防火墙规则的时候说:
Configuring firewall rules...
iptables: Bad rule (does a matching rule exist in that chain?) iptables: Bad rule (does a matching rule exist in that chain?) Configuring custom firewall rules...
Configuring port forwarding for internal hosts...
Running Line UP Scripts...


但都没怎么改防火墙规则。。。。。。。。。
routeros
回复

使用道具 举报

发表于 2006-4-30 23:42:03 | 显示全部楼层

回复 #13 sorrow 的帖子

你的规则是不是写入了这句:scrub  out  on $EXT_NIC all fragment reassemble random-id no-df
改一改看看:scrub on  $EXT_NIC all fragment reassemble  reassemble tcp   random-id no-df  min-ttl 142  max-mss 1452
  如果是ADSL拨号上面的 $EXT_NIC 应改为 tun0,应所有数据包在tun0整形

[ 本帖最后由 hzl88688 于 2006-5-1 00:28 编辑 ]
routeros
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

QQ|Archiver|手机版|小黑屋|软路由 ( 渝ICP备15001194号-1|渝公网安备 50011602500124号 )

GMT+8, 2024-11-6 07:42 , Processed in 0.060247 second(s), 4 queries , Gzip On, Redis On.

Powered by Discuz! X3.5 Licensed

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表