pf Firewall : rules to block TCP RST attack

[jingyue]

pf Firewall: how to ignore TCP RST packets                           pf 防火墙添加一条规则可以屏蔽入站 TCP_RST 数据包，


在 pf 防火墙配置文件 pf.conf 中，添加如下一条规则，即可，
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

block drop in log quick proto tcp all flags R/R label  " block_TCP_RST_attack "

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

block drop in log quick on em1 inet proto tcp all flags R/R label  " block_TCP_RST_attack "


提示：网卡设备名称 em1 需要根据具体实例修改，
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

二者可选其一，


仅供参考

[jingyue]

如何查看被 pf 防火墙拦截下来的入站 TCP RST 数据包数目，

终端命令，root 权限，


# pfctl -s all | grep "block_TCP_RST_attack"

典型输出：

# pfctl -s all | grep "block_TCP_RST_attack"
block drop in log quick proto tcp all flags R/R label "block_TCP_RST_attack"
block_TCP_RST_attack  1722  0  0  0  0  0  0  0
#

其中第一列数字 1722 ，表示 pf 防火墙已经拦截下来 1722 个入站 TCP RST 数据包，


~~~~~~~~~~~~~~~~~~~~~~~~~~_END_~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


参考文献：

pf.conf(5) - OpenBSD manual pages

https://man.openbsd.org/pf.conf

中国长城防火墙 GFW 通过注入伪造的 TCP RST+ACK 数据包来破坏 TCP 端口 443 上的连接