Giden paketleri belirli bir ana bilgisayara / bağlantı noktasına nasıl bırakabilirim?

Yerel olarak bir şeyi test etmek istiyorum. Bunun için, belirli bir ana bilgisayara / bağlantı noktasına gönderilen giden paketleri bırakabilmek istiyorum. Murus'u (özgür olmayan versiyon) kullanarak pf kuralları ile uğraşmaya çalıştım ama başarısız oldum.

Terminalde rahatım ama nerede değişiklik yapılacağı ve nasıl uygulanacağı konusunda emin değilim. Linux üzerinde iptables ile tanıştım.

Bunun nasıl başarılacağına dair bir yön alabilir miyim?

Giden trafiği belirli etki alanlarına ve / veya bağlantı noktalarına kalıcı olarak engellemek için yeni bir bağlantı dosyası oluşturmalı ve pf.conf dosyasına eklemelisiniz.

1. Çapa dosyası oluştur org.user.block.out /private/etc/pf.anchors içinde

   sudo touch /private/etc/pf.anchors/org.user.block.out
   

   aşağıdaki içerik ve takip eden boş satır

   mybadtcphosts = "{ www.domain.com, domain.com, 135.0.9.17, 10.0.0.17 }"
   mybadtcpports = "{ 443, 80 }"
   mybadudphosts = "{ www.domain3.com, domain3.com, 27.134.89.124, 192.168.5.37 }"
   mybadudpports = "{ 53, 5353 }"
   
   block drop out proto tcp from any to $mybadtcphosts port $mybadtcpports
   block drop out proto udp from any to $mybadudphosts port $mybadudpports
   

   Mybad * ana bilgisayarlarındaki ek etki alanı adları / IP adresleri, ek etki alanlarının nasıl eklendiğine sadece bir örnektir. Aynısı mybad * portlarındaki 80/5353 portları için de geçerlidir.

   Basit ama daha az esnek bir çözüm:

   block drop out proto tcp from any to domain.com port 80
   

2. /Private/etc/pf.conf dosyasını değiştirin, ancak sonunda boş bir satır tutun

   Orijinal dosya:

   scrub-anchor "com.apple/*"
   nat-anchor "com.apple/*"
   rdr-anchor "com.apple/*"
   dummynet-anchor "com.apple/*"
   anchor "com.apple/*"
   load anchor "com.apple" from "/etc/pf.anchors/com.apple"
   

   için

   scrub-anchor "com.apple/*"
   nat-anchor "com.apple/*"
   rdr-anchor "com.apple/*"
   dummynet-anchor "com.apple/*"
   anchor "com.apple/*"
   anchor "org.user.block.out"
   load anchor "com.apple" from "/etc/pf.anchors/com.apple"
   load anchor "org.user.block.out" from "/etc/pf.anchors/org.user.block.out"
   

3. Hata olmadığından emin olmak için bağlantı dosyanızı çözümleyin ve test edin:

   sudo pfctl -vnf /etc/pf.anchors/org.user.block.out
   

4. Şimdi /System/Library/LaunchDaemons/com.apple.pfctl.plist öğesini değiştirin.

   <array>
       <string>pfctl</string>
       <string>-f</string>
       <string>/etc/pf.conf</string>
   </array>
   

   için

   <array>
       <string>pfctl</string>
       <string>-e</string>
       <string>-f</string>
       <string>/etc/pf.conf</string>
   </array>
   

   Bunu gerçekleştirmek için El Capitan kurulmuşsa, Sistem Bütünlüğü Korumasını devre dışı bırakmanız gerekir. Dosyayı düzenledikten sonra SIP yeniden etkinleştirilebilir. Mac'i yeniden başlattıktan sonra pf etkinleştirilecektir (-e seçeneği budur).

   Alternatif olarak, buradaki cevaba benzer kendi lansman daemonunu oluşturabilirsiniz: İnternet paylaşımı OLMADAN interneti paylaşmak için Sunucu 5.0.15'i kullanma .

Bir sistem güncellemesi veya güncellemesinden sonra yukarıdaki orijinal dosyalardan bazıları değiştirilmiş olabilir ve tüm değişiklikleri yeniden uygulamanız gerekebilir.

Murus:

Murus'u açın. Özel bir kural oluşturmak için yapılandırma panelindeki dişliye tıklayın:

Gerekli tüm detayları girin:

Mavi düğmeye bas Özel PF kuralı ekle ve sağ üst köşedeki PF'yi sağ ok (veya "oynat" düğmesi) ile başlatın.

PF güvenlik duvarını kullanabilirsiniz:

Tüm paketleri verilen ip: portuna bırakmak için /etc/pf.conf dosyasına bu satırı ekleyin.

block drop out quick proto tcp  to 192.168.1.103 port 80

Pf.conf dosyasını değiştirdikten sonra tekrar yüklemelisiniz

sudo pfctl -f /etc/pf.conf

Sonunda bunu etkinleştirmek zorunda kalacak

sudo pfctl -e