PF 可以瞒过网络奇兵吗?

ml2hs

最近看PF文档中,看到其中
scrub all    对所有接口上到来的数据包进行流量整形

reassemble tcp
TCP连接状态标准化。当使用了 scrub reassemble tcp时，方向（进/出）不用说明，会执行下面的标准化过程：
+ 连接双方都不允许减少它们的IP TTL值。这样做是为了防止攻击者发送数据包到防火墙，影响防火墙保持的连接状态，使数据包在到达目的主机前就过期。所有数据包的TTL都为了这个连接加到了最大值。
+ 用随机数字调整TCP数据包头中的 RFC1323 时间戳。这可以阻止窃听者推断主机在线的时间和猜测NAT网关后面有多少主机。


回想起以前在软件路由这看到的帖子中看到版主提到过
freebsd可以通过设置绕过网络奇兵,
现在想问问,是否就是这个?
有哪位可以告知一下?

心想事成

应该是这样的

ml2hs

有哪位实际用过的吗???

hzl88688

pfsense默认是不是打开PF防火墙？我修改了它的配置文件pf.conf,是不是能够打开它的流量整形,怎么样知道流量整形起作用了？

hzl88688

我修改了pfsense中的PF设置，加入了scrub on {$wanif} reassemble tcp 这一句进去了，不知能不能起作用！

ml2hs

经过实际使用,可以高兴的宣布,网络奇兵被蒙过去了,哈哈

bsdfan

原帖由 ml2hs 于 2006-4-28 11:22 发表
经过实际使用,可以高兴的宣布,网络奇兵被蒙过去了,哈哈

不奇怪,一定可以的,SCRUB对IP包号什么的都经过重整的.

hzl88688

我这里实验也成功了，电信一直都没有检测出来！我修改的PFSENSE 1.0 BETA 3 的光盘镜象可以上传到论坛吗？

sorrow

不行的，电信现在使用的设备越来越先进了。目前广东汕尾（海丰、陆丰）、广东东莞和山东烟台网通，中国电信网络尖兵限制上网,限制后出现的症状是:内网的机子QQ可以上,网页无法访问.可以ping到外网和dns服务器地址.

sorrow

当然，我使用的是freebsd＋pf，没有使用PFSENSE。

hzl88688

能否把你的防火墙配置文件贴出来，让大家一起来研究研究！

hzl88688

你使用太美老大修改过的COYOTELINUX看看，ftp://61.161.79.48/wizard-2.24.0-pers.rar
如能成功，请告诉一声！

sorrow

现在freebsd没有开，请参考我在freebsdchina这里问的：
http://www.freebsdchina.org/foru ... 7b5adb24dcce0ec8f89

sorrow

原帖由 hzl88688 于 2006-4-29 20:11 发表
你使用太美老大修改过的COYOTELINUX看看，ftp://61.161.79.48/wizard-2.24.0-pers.rar
如能成功，请告诉一声！

测试了，整个局域网只有一部机可以正常上网，其他的机子是可以ping通外网，网页和qq都上不了。重新加载防火墙规则的时候说：
Configuring firewall rules...
iptables: Bad rule (does a matching rule exist in that chain?) iptables: Bad rule (does a matching rule exist in that chain?) Configuring custom firewall rules...
Configuring port forwarding for internal hosts...
Running Line UP Scripts...


但都没怎么改防火墙规则。。。。。。。。。

hzl88688

你的规则是不是写入了这句：scrub  out  on $EXT_NIC all fragment reassemble random-id no-df
改一改看看：scrub on  $EXT_NIC all fragment reassemble  reassemble tcp   random-id no-df  min-ttl 142  max-mss 1452
  如果是ADSL拨号上面的 $EXT_NIC 应改为 tun0，应所有数据包在tun0整形

[ 本帖最后由 hzl88688 于 2006-5-1 00:28 编辑 ]