Exemples d'architectures réseau

Exemple 1 : Client avec une seule carte réseau

# Normalisation des paquets
scrub in all
# Stoppe tous les paquets ipv6 et on arrête de lire les autres règles
block in quick inet6 all
block out quick inet6 all
# Autorise le trafic sur l'adresse loopback Fortement conseillé
pass in quick on lo0 all
pass out quick on lo0 all
# Bloque les adresses privées et on logue (cela est plus utile pour une machine connectée à internet)
block in log quick on fxp0 from { 192.168.0.0/16, 172.16.0.0/12, 127.0.0.0/8, 10.0.0.0/8, 0.0.0.0/8, 169.254.0.0/16, 192.0.2.0/24, 204.152.64.0/23, 224.0.0.0/3 } to any
#
# Bloque tous les paquets qui n'ont pas l'adresse de ma machine
block out log quick on fxp0 from ! 195.98.249.20 to any
# On ferme la machine en ipv4 sur la carte réseau fxp0 (le nom de ma carte)
block in on fxp0 all
block out on fxp0 all
#
# Votre machine est fermée, mais un peu trop, il faut au moins lui permettre d'aller sur internet
pass out on fxp0 inet proto tcp all flags S modulate state
pass out on fxp0 inet proto { udp, icmp }all keep state
#
# On permet la prise de controle en ssh de cette machine
pass in quick on fxp0 inet proto tcp from any to any flags S keep state
#
# En passant j'autorise aussi le serveur Web qui se trouve dessus
pass in quick on fxp0 inet proto tcp from any to 195.98.249.20 flags S keep state

Exemple 2 : Serveur avec une seule carte réseau

Exemple 3 : Passerelle filtrante dédiée à 2 cartes réseau, dont une sur une connexion ADSL
NB :Par dédiée, on entend, sans autre service réseau actif que le strict nécessaire.
Le cas est traité dans connexion ADSL.

Exemple 4 : FireWall dédié à 3 cartes réseau, dont une sur une connexion ADSL et une sur DMZ
La DMZ (Zone DéMilitarisée) est un réseau isolé tant de l'Intranet que d'Internet, on y met traditionnellement les serveurs.
Schéma
Remarques :
- Même si ceci est parfaitement réalisable, si vous arrivez à une DMZ aussi chargée, vous devriez penser à investir dans quelques IP publiques!
- Toutes sont visibles depuis Internet depuis UNE SEULE IP publique.Conséquence, vous ne pourrez rediriger un port donné que sur une seule machine de la DMZ; ie, un seul serveur web, un seul smtp....

Exemple de fichier : /etc/nat.conf
Mon_IP_Pub="Mon_IP_Pub/32"
nat on tun0 from 10.0.0.0/24 to any -> tun0        ##Masque l'intranet
nat on tun0 from 10.1.1.0/24 to any -> tun0        ##Masque la DMZ

rdr on xl1 proto tcp from 10.0.0.0/24 to any port 21 -> 127.0.0.1 port 8081        ## redirige les requêtes FTP vers le proxy-ftp local
rdr on xl0 proto tcp from 10.1.1.0/24 to any port 21 -> 127.0.0.1 port 8081

rdr on tun0 proto tcp from any to $Mon_IP_Pub port 80 -> 10.1.1.10 port 80            ##Permet l'accès au serveur http depuis Internet
rdr on tun0 proto tcp from any to $Mon_IP_Pub port 443 -> 10.1.1.10 port 443        ##Permet l'accès au serveur https depuis Internet
rdr on tun0 proto tcp from any to $Mon_IP_Pub port 23 -> 10.1.1.10 port 22            ##Permet l'accès SSH depuis Internet. Notez qu'il est accessible sur le port 23 depuis Internet, le port 22 est réservé au port SSH du routeur.

Exemple de fichier : /etc/pf.conf
Bientôt