FreeBSD 13 PF chặn lưu lượng tù

Sau khi nâng cấp hệ thống FreeBSD của tôi từ 12.2 lên 13.0-p3 PF đang chặn tất cả lưu lượng truy cập vào các nhà tù của tôi. Khi tắt PF, mọi thứ đều hoạt động tốt (ngoại trừ việc không được bảo vệ;))

Tôi đã cố gắng tìm ra quy tắc nào đang chặn lưu lượng truy cập này bằng cách đặt 'chặn tất cả nhật ký', nhưng ngoài một số nội dung phát đa hướng rõ ràng, không có gì xuất hiện có thể giải thích tại sao lưu lượng truy cập này bị chặn.

Một lần nữa, trước khi mọi thứ hoạt động hoàn toàn tốt trong phiên bản 12.2. Tôi đã tìm thấy một số bài viết về v13 hiện đang lọc qua Vlan thay vì lo0 nhưng tôi không sử dụng bất kỳ Vlan nào.

Tôi nên tìm kiếm thêm theo hướng nào?

Cập nhật 2021-07-15:

Để rõ ràng: đây là tệp pf_rules của tôi:

đặt trả lại chính sách khối
thiết lập tối ưu hóa tích cực
đặt bỏ qua trên { lo0, lo1, lo2, lo3, lo4, lo5 }
ext_if=hn0
ext_address="{ 192.x.x.x, 2001:981:x.x::x }"
ext_services = "{ ssh, http, https, smtp, smtps }"
tcp_services = "{ ftp, ssh, tên miền, ntp, www, smtp, smtps, đệ trình, http, https, nfs}"
udp_services = "{ tên miền, ntp, nfs }"
icmp6_types="{ 2, 128 }" # gói tin quá lớn, yêu cầu phản hồi (ping6)
icmp6_types_ext_if="{ 128, 133, 134, 135, 136, 137 }"
giam_net = "192.168.1.0/24"
giam_services = "{ mysql, http, smtp, 587, 3000 }"
bảng <sshguard> vẫn tồn tại
chà trong tất cả
tự nhiên chuyển $ext_if từ $jail_net sang bất kỳ -> $ext_address
chặn đăng nhập trên $ext_if proto tcp từ <sshguard> tới bất kỳ cổng ssh nào có nhãn "ssh bruteforce"
chặn đăng nhập tất cả
chuyển nhanh từ cờ <pf_whitelist> trạng thái đồng bộ S/SA
bỏ qua $ext_if inet6 proto icmp6 tất cả trạng thái echoreq kiểu icmp6
chuyển $ext_if inet proto udp sang cổng 33433:33626
chuyển $ext_if inet6 proto udp sang cổng 33433:33626
chuyển vào $ext_if inet6 proto ipv6-icmp icmp6-type $icmp6_types giữ nguyên trạng thái
chuyển $ext_if inet6 proto ipv6-icmp từ bất kỳ sang { ($ext_if ), ff02::1/16 } icmp6-type $i
cmp6_types_ext_if giữ trạng thái
chuyển $ext_if proto tcp từ bất kỳ sang cổng $ext_address $ext_services giữ nguyên trạng thái
chuyển $ext_if inet6 proto tcp từ bất kỳ sang cổng $ext_address $ext_services giữ nguyên trạng thái
bỏ qua $ext_if inet proto tcp tới bất kỳ cổng nào $tcp_services giữ nguyên trạng thái
chuyển $ext_if inet6 proto tcp sang bất kỳ cổng nào $tcp_services giữ nguyên trạng thái
chuyển $ext_if inet6 proto udp sang bất kỳ cổng nào $udp_services
chuyển proto udp tới bất kỳ cổng nào $udp_services giữ trạng thái
chuyển tcp proto từ bất kỳ sang cổng $jail_net $jail_services giữ nguyên trạng thái
chuyển proto tcp từ $jail_net sang bất kỳ cổng nào $jail_services giữ nguyên trạng thái
chuyển inet proto icmp từ bất kỳ sang bất kỳ

Điều này đã hoạt động trong nhiều năm cho đến khi FreeBSD 13

trích dẫn từ Ủy quyền TCP SYN:

| SYN proxy sẽ không hoạt động nếu PF đang chạy trên một cây cầu (4).

Xóa cờ đồng bộ hóa

chuyển nhanh từ cờ <pf_whitelist> trạng thái đồng bộ S/SA

thay vào đó hãy thử

chuyển nhanh từ <pf_whitelist> cờ S/SA giữ trạng thái

Nếu điều này hoạt động, bạn chỉ có thể sử dụng nó cho các nhà tù và giữ đồng bộ hóa cho những người khác, e.g.

chuyển nhanh từ <pf_whitelist> sang $jail_net cờ S/SA giữ nguyên trạng thái
chuyển nhanh từ cờ <pf_whitelist> trạng thái đồng bộ S/SA