站内公告:

亲友传真---海外信息直接看 https://qycz.org

Main Menu

回覆帖子

Note: this post will not display until it has been approved by a moderator.
Attachments: (Clear attachments)
限制: 每篇帖子 3 (3 remaining), maximum total size 8.00 MB, maximum individual size 2.00 MB
请将要删除的附件取消勾选
Click or drag files here to attach them.
(Clear attachments)
进阶选项(包含帖子状态和附件)...
验证码:
请将此框留空:
三乘七等于几?(请用阿拉伯数字回答):
Shortcuts: ALT+S post or ALT+P preview

帖子总览

作者 jingyue
 - 十二月 17, 2025, 05:17:00 上午
如何查看被 pf 防火墙拦截下来的入站 TCP RST 数据包数目,

终端命令,root 权限,


# pfctl -s all | grep "block_TCP_RST_attack"

典型输出:

引用# pfctl -s all | grep "block_TCP_RST_attack"
block drop in log quick proto tcp all flags R/R label "block_TCP_RST_attack"
block_TCP_RST_attack  1722  0  0  0  0  0  0  0
#

其中第一列数字 1722 ,表示 pf 防火墙已经拦截下来 1722 个入站 TCP RST 数据包,


~~~~~~~~~~~~~~~~~~~~~~~~~~_END_~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


参考文献:

pf.conf(5) - OpenBSD manual pages

https://man.openbsd.org/pf.conf

引用自: jingyue 于 十二月 12, 2025, 05:08:25 上午中国长城防火墙 GFW 通过注入伪造的 TCP RST+ACK 数据包来破坏 TCP 端口 443 上的连接


作者 jingyue
 - 十二月 17, 2025, 05:07:39 上午
pf Firewall: how to ignore TCP RST packets                           pf 防火墙添加一条规则可以屏蔽入站 TCP_RST 数据包,


在 pf 防火墙配置文件 pf.conf 中,添加如下一条规则,即可,
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

block drop in log quick proto tcp all flags R/R label  " block_TCP_RST_attack "

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

block drop in log quick on em1 inet proto tcp all flags R/R label  " block_TCP_RST_attack "


提示:网卡设备名称 em1 需要根据具体实例修改,
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

二者可选其一,


仅供参考