LINUX.ORG.RU

Лишние логи в pflog

 , , ,


0

1

Хочу настроить pf так, чтобы логгировались все незаматченные пакеты (чтобы было видно, что я ещё не учёл). Заметил, что на интерфейсе много каких-то icmp6 пакетов и попытался их заматчить по типу. Получился такой вот набросок

set skip on lo

pass log

pass in on vio0 inet6 proto icmp6 icmp6-type {listqry listenrep neighbrsol}

Идея в том, что те пакеты, которые проходят по последнему правилу, логгироваться не должны (т.к. я не указал там log).

Однако по факту они вполне себе логгируются. Причём в правило они, вроде, попадают. Пробовал ставить quick (во втором правиле), то же самое получается. Ещё странность в том, что IP-адреса на этих пакетах по-моему вообще не принадлежат ни мне, ни роутеру, не знаю, влияет ли это на что-либо. Ещё странность в том, что с дефолтным pf.conf-ом, в котором нет никакого упоминания про log, всё равно создаётся /var/log/pflog и туда чего-то там логгирует. В общем не пойму я, как это всё работает.

Пример заматченного пакета

12:51:17.333964 rule 2/(match) pass in on vio0: fe80::225:90ff:fe04:ac74 > ff02::1:ff00:122: HBH icmp6: multicast listener report  [hlim 1]
  0000: 6000 0000 0020 0001 fe80 0000 0000 0000  `.... ..........
  0010: 0225 90ff fe04 ac74 ff02 0000 0000 0000  .%.....t........
  0020: 0000 0001 ff00 0122 3a00 0502 0000 0100  .......":.......
  0030: 8300 4240 0000 0000 ff02 0000            ..B@........
Разбирал его по байтам, вроде обычный пакет, тип 0x83 == 131 == listenrep.

Собственно сделал вообще простейший pf.log с одной строкой: set skip on lo и в логах всё равно пишутся пакеты. Причём вида 13:10:07.313586 rule def/(match) pass in on vio0: fe80::225:90ff:fea1:3104 > ff02::1:ffa1:3104: HBH icmp6: multicast listener report [hlim 1], т.е. тут какое-то правило match по умолчанию стоит. Что за правило такое, где его можно найти и как отключить?

★★★★★