IPCAD + FreeBSD 5.3 + PF

[Yuriy A.Kolodovskyy]

re ppl

FreeBSD 5.3-RELEASE, ipcad-3.6.3

#pfctl -sr
pass in quick all
pass out quick all

больше никаких правил нет...

при pfctl -d

#rsh localhost stat
Interface fxp4: received 0, 5 m average 0 bytes/sec, 0 pkts/sec, dropped 0
Interface fxp3: received 0, 5 m average 0 bytes/sec, 0 pkts/sec, dropped 0
Interface fxp2: received 0, 5 m average 0 bytes/sec, 0 pkts/sec, dropped 0
Interface fxp1: received 2602, 5 m average 517 bytes/sec, 2 pkts/sec,
dropped 0
Interface fxp0: received 0, 5 m average 0 bytes/sec, 0 pkts/sec, dropped 0
Flow entries made: 101
Memory usage: 8 kbytes.
Free slots for rsh clients: 9
IPCAD uptime is 20 minutes
myhost uptime is 2:08

если pfctl -e

тот же запрос к ipcad подвисает

смотрим
tcpdump -n -e -ttt -i pflog0
[skiped]
00014 rule 1/3(short): pass out on lo0: IP 127.0.0.1.514 > 127.0.0.1.947: .
ack 16 win 35838 <nop,nop,timestamp[|tcp]>
000016 rule 1/3(short): pass out on lo0: IP 127.0.0.1.514 > 127.0.0.1.947: .
ack 16 win 35839 <nop,nop,timestamp[|tcp]>
000014 rule 1/3(short): pass out on lo0: IP 127.0.0.1.514 > 127.0.0.1.947: .
ack 16 win 35839 <nop,nop,timestamp[|tcp]>
000014 rule 1/3(short): pass out on lo0: IP 127.0.0.1.514 > 127.0.0.1.947: .
ack 16 win 35840 <nop,nop,timestamp[|tcp]>
000013 rule 1/3(short): pass out on lo0: IP 127.0.0.1.514 > 127.0.0.1.947: P
0:1(1) ack 16 win 35840 <nop,nop,timestamp[|tcp]>
000117 rule 1/3(short): pass out on lo0: IP 127.0.0.1.514 > 127.0.0.1.947: P
0:514(514) ack 16 win 35840 <nop,nop,timestamp[|tcp]>
000018 rule 1/3(short): pass out on lo0: IP 127.0.0.1.514 > 127.0.0.1.947:
FP 0:514(514) ack 16 win 35840 <nop,nop,timestamp[|tcp]>
060703 rule 1/3(short): pass out on lo0: IP 127.0.0.1.514 > 127.0.0.1.947:
FP 1:514(513) ack 16 win 35840 <nop,nop,timestamp[|tcp]>
038887 rule 1/3(short): pass out on lo0: IP 127.0.0.1.514 > 127.0.0.1.947:
FP 2:514(512) ack 16 win 35840 <nop,nop,timestamp[|tcp]>
208968 rule 1/3(short): pass out on lo0: IP 127.0.0.1.514 > 127.0.0.1.947:
FP 0:514(514) ack 16 win 35840 <nop,nop,timestamp[|tcp]>
[skiped]

#pfctl -si
Counters
match 4313 59.9/s
bad-offset 0 0.0/s
fragment 0 0.0/s
short 405 5.6/s
normalize 0 0.0/s
memory 0 0.0/s

тоесть пакеты проскипались по реасону short

пробовалось использовать scrub во всех его проявлениях,
так же различные наборы правил, чуть ли не перебором
результат тот же

не очень то бы хотелось чтобы какие-либо пакеты дропались
без ведома правил...
использовать ipcad уж очень хочеться, да и pf сильно удобен...

может есть мысли у народа касательно данной ситуации?

--
LEXX-RIPE

[Yuriy A.Kolodovskyy]

проблема решена...

По умолчанию pf блокирует пакеты с установленными опциями IP.
Такие пакеты как multicast или IGMP блокируются.
Чтобы разрешить данное, необходимо указать в правилах pass опцию allow-opts

тоесть вместо
pass quick all
необходимо
pass qucik all allow-opts

даже есть собираетесь использовать pf только для altq
внимательно следует относиться к allow-opts
без этой опции такие протоколы как ospf не будут работать...