Die Firewall von Firewall blockiert die Aktualisierung von Raspbian apt-get

501
Drew

Ich verbinde meinen Himbeer-Pi 3 (Raspbian-Stretch) mit meinem Macpro (10.13.2; High Sierra) mit dem 802.3-Ethernet-Port, der Teil eines überbrückten Adapters ( bridge100) ist, der die Internetfreigabefunktion verwendet. Internetschnittstelle auf dem Mac ist en2(drahtlos).

Ich kann zwar pingen google.comoder mirrordirector.raspbian.orgwenn ich versuche, Pakete zu aktualisieren, hängt apt-get für immer:

# apt-get update 0% [Connecting to mirrordirector.raspbian.org (93.93.128.193)] [Connecting to archive.raspberrypi.org (93.93.130.104)]

Wenn ich die PF-Firewall auf dem Mac deaktiviere, funktioniert es jetzt. Meine PF-Regeln sind folgende:

LAN="bridge100" WLAN="en2"  dns="53" ntp="123"  set fingerprints "/etc/pf.os" set skip on lo set block-policy drop  set ruleset-optimization basic set optimization normal set timeout { tcp.established 600, tcp.closing 60 } scrub in all no-df fragment reassemble antispoof log quick for { lo $LAN $WLAN }   block all block in log quick from no-route to any  pass in quick on { $LAN $WLAN } proto { udp tcp } from any to any port $dns keep state pass in quick proto udp from any port 67 to any port 68 pass in proto udp from any to port $ntp  pass in inet proto icmp from 10.8.0.0/24 pass in inet proto icmp from 192.168.1.0/24 pass in inet proto icmp from 192.168.2.0/24 pass in inet proto icmp from 172.16.42.0/24  pass out all

Welche Regel sollte ich zu ermöglichen apt-get update. Ich dachte, ich pass out allwerde es tun, aber ich verstehe die Firewall wahrscheinlich nicht ganz. Bitte helfen

0

1 Antwort auf die Frage

0
Drew

Nun, endlich habe ich das herausgefunden. Das Problem war komplex.

1 - Ich hatte die folgenden Weiterleitungsregeln, die mir nicht bekannt waren:

rdr pass inet proto tcp from any to any port 80 -> 127.0.0.1 port 8080 rdr pass inet proto tcp from any to any port 443 -> 127.0.0.1 port 8443

Also habe ich sie kommentiert, weil apt-get Port 80 (und wahrscheinlich 443) verwendet.

2 - Hauptsache. Wenn tickt Internet Sharing in Checkbox Voreinstellungen, MacOS fügt dynamisch den folgenden pf Anker:

nat-anchor "com.apple.internet-sharing" all rdr-anchor "com.apple.internet-sharing" all  scrub-anchor "com.apple.internet-sharing" all fragment reassemble anchor "com.apple.internet-sharing" all

Führen Sie sudo pfctl -saden Vorgang aus, um sicherzustellen, dass diese Anker enthalten sind. Wenn nicht, dann deaktivieren Sie einfach und dann kreuzen wieder Internet Sharing Checkbox in MacOS Systemeinstellungen .

Verwandte Probleme