Re: [openbsd-france-misc] migration pf vers pf duplication des regles in out

[Patrick Noel <patrick POINT noel AT argus-presse.fr>]

Merci à tous effectivement je n'avais pas vu cette difference entre pf
et ipf.

Patrick
Le mar 09/03/2004 à 10:47, Laurent Cheylus a écrit :
> Bonjour,
> 
> On Tue, 9 Mar 2004, Patrick Noel wrote:
> 
> > ma configuration :
> > 
> > Lan1(192.168.1.0) - em0 FW em1 - Lan2(192.168.2.0) (ip.forwarding = yes)
> > 
> > avec ipf OpenBSD 2.9 si je veux faire passer http de Lan2 vers Lan1 et
> > le reste j'ai la regle suivante
> > pass in on em1 proto tcp from 192.168.2.0/24 to any port = 80 keep state
> > 
> > les trames passent bien à travers em1 et em0
> > 
> > avec pf OpenBSD 3.4 
> > pass in on em1 proto tcp from 192.168.2.0/24 to any port = 80 keep state
> > les trames passent bien à travers em1 mais pas a travers em0 il faut que
> > je rajoute
> > pass out on em0 proto tcp from 192.168.2.0/24 to any port = 80 keep
> > state
> 
> Avec IPF, les connexions actives créées par une règle avec 'keep state' 
> sont évaluées de manière globale i.e. pour toutes les interfaces Ethernet.
> 
> Avec PF, un paquet TCP est évalué par les règles de flux pour chaque 
> interface par lequel il passe.
> Dans votre cas, paquet TCP SYN sur port 80 entrant par if em0 : évaluation 
> par les règles relatives à em0 puis forwarding (via routage IP) vers em1 
> ==> évaluation par les règles relatives à em1.
> 
> C'est pour cela que vous devez avoir une règle pour chaque interface.
> 
> D'habitude, on se place dans le cas suivant pour plus de facilité : 
> -une interface interne connectée à un LAN (dans votre cas em1) sur 
> laquelle on laisse tout passer via les règles
> pass in on $INT_IF all
> pass out on $INT_IF all
> - une  interface externe (dans votre cas em0) sur laquelle on fait tous 
> le filtrage via les règles PF.
> 
> Voir FAQ partie sur PF pour plus de détails : 
> http://www.openbsd.org/faq/pf/index.html
> 
> A++ Foxy