תחליף לwifree למחשב mac
-
@yzahn
בכלל חומת האש שעשית לא חסמת IPV6, כך שכל תעבורה של IPV6 יכולה לעבור שלא דרך הVPN.
תוכל לשדרג את הכלל?
תודה רבה! -
@shraga עד כמה שאני רואה, הגדרות אלו אמורים לחסום גם IPv6.
א) ליתר בטחון נ״ל שאפשר לכתוב את ההגדרות בצורה שיכללו IPv6 יותר בפירוש ע״י שינוי ההגדרות כך
lan = "{ 10.0.0.0/8 172.16.0.0/12 192.168.0.0/16 }" vpn_intf = "{ utun0, utun1, utun2, utun3 }" allowed_vpn = "{ 185.18.205.51, 66.97.33.67, 78.129.212.85, 172.96.166.99, 51.15.222.150, 185.217.99.131 }" block out inet6 proto tcp block out inet proto tcp pass out inet proto tcp to $allowed_vpn pass out on $vpn_intf pass out to $lan pass on lo0 all
ב) אם המחשב עדיין מאשר תעבורה כלשהו שלא אמור לעבור, כדאי לבדוק אם ההגדרות חלו ע״י פקודה זו (בטרמינל):
sudo pfctl -s all
יהיה פלט ארוך, אך מה שמעניין אותנו הוא
FILTER RULES
ו-INFO
החלק שתחת הכותרתFILTER RULES
אמור לשקף (פחות או יותר) את ההגדרות שהגרדנו. כך זה נראה אצלי (זה לפי ההגדרות הישנות, בלי מה שהוספתי עכשיו):FILTER RULES: scrub-anchor "com.apple/*" all fragment reassemble anchor "com.apple/*" all block drop out proto tcp all pass out inet proto tcp from any to <__automatic_59b8c9eb_0> flags S/SA keep state pass out inet from any to 10.0.0.0/8 flags S/SA keep state pass out inet from any to 172.16.0.0/12 flags S/SA keep state pass out inet from any to 192.168.0.0/16 flags S/SA keep state pass out on utun0 all flags S/SA keep state pass out on utun1 all flags S/SA keep state pass out on utun2 all flags S/SA keep state pass out on utun3 all flags S/SA keep state pass on lo0 all flags S/SA keep state
ותחת הכותרת INFO צריך להיות כתוב:
Status: Enabled ..... <עוד פרטים>
-
-
היי ביצעתי איתחול למחשב והייתי צריך להתקין את pf מחדש אבל המחשב טוען שקיימת שגיאת תחביר!
-
-
@some-one אמר בתחליף לwifree למחשב mac:
מי שמוגדר עבורו wifree חובה זה ימנע ממנו להשתמש בפתרון הזה?
@magicode האם ישנה אפשרות להגדרת וויפרי חובה גם ללא פיקוח קהילה?
דהיינו סעיף בהגדרות סינון שיחייב את זה וכל אדם יוכל להגדיר את זה לחיבור שלו.
במידה ולא קיים, האם אפשרי להוסיף את זה לרשימת ההצבעות לפיתוחים נוספים? -
@6262 אמר בתחליף לwifree למחשב mac:
@magicode האם ישנה אפשרות להגדרת וויפרי חובה גם ללא פיקוח קהילה?
דהיינו סעיף בהגדרות סינון שיחייב את זה וכל אדם יוכל להגדיר את זה לחיבור שלו.
במידה ולא קיים, האם אפשרי להוסיף את זה לרשימת ההצבעות לפיתוחים נוספים? -
פוסט זה נמחק! -
@meirbenin אמר בתחליף לwifree למחשב mac:
היי ביצעתי איתחול למחשב והייתי צריך להתקין את pf מחדש אבל המחשב טוען שקיימת שגיאת תחביר!
-
@meirbenin
טעיתי בתחביר.
במקוםinet4
צ"לinet
(מופיע פעמיים)
(או תעתיק שוב מלמעלה) -
@yzahn תודה רבה ושבת שלום
-
זה עובד רק כשאני טוען את הקובץ ידנית דרך המסוף אבל זה לא נטען אוטמטית
-
@yzahn אמר בתחליף לwifree למחשב mac:
@shraga ברגע שיש בעיה בחלק מההגדרות, כל הקובץ לא נטען, לכן נשאר הכל פתוח.
יתכן שיש בעיה כלשהי בהגדרות?
-
@meirbenin אמר בתחליף לwifree למחשב mac:
@yzahn אמר בתחליף לwifree למחשב mac:
@shraga ברגע שיש בעיה בחלק מההגדרות, כל הקובץ לא נטען, לכן נשאר הכל פתוח.
יתכן שיש בעיה כלשהי בהגדרות?
-
@meirbenin אצלי זה עובד
חומת האש מופעל (על ידי הפעלת מצב חשאיות, כמו בתמונה כאן)? -
@yzahn כן מופעל ועדיין לא עובד
-
-
@meirbenin לאחר ההפעלה הידנית של pf השורה הזו נעלמת
-
@meirbenin מצטער, אני לא יודע מה יכולה להיות הבעיה.
-
@meirbenin
נ"ל שהבנתי מה הבעיה. האם שיתוף חיבור אינטרנט מופעל אצלך? האם זה בכוונה? הפעלת שיתוף חיבור אינטרנט משחק עם הגדרות חומת האש.