[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [openbsd-france-misc] petit conseil sur pf & rdr

Bonjour

en fait ce n'est pas un pb de configuration mais un pb du au cache arp
du routeur du FAI.

je dois remplacer mon FW situé juste en aval du routeur FAI le swap est
effectué rapidement et je suppose que le routeur n'a pas le temps de
mettre à jour son cache arp donc les IP des alias sont toujours associés
à la mac adresse de l'ancien FW. Comme je n'ai pas la main sur le
routeur j'ai associé provisoirement chaque IP allias à l'interface
externe et fait un ping vers le routeur pour mettre à jour son cache.

Voila je n'ai plus de pb du moins pour l'instant.

Patrick


Le ven 04/06/2004 à 15:47, Patrick Noel a écrit :
> Bon j'ai utilisé la deuxième methode mais j'ai un autre pb :
> 
> J'ai plusieurs adresses externes (14 ,réseau avec un sous masque de
> 255.255.255.240 )
> 
>  x.x.x.224 lan
>  x.x.x.225 ext_if
>  x.x.x.226 alias sur ext_if
> à
>  x.x.x.237 alias sur ext_if
>  x.x.x.238 ip routeur du FAI
>  x.x.x.239 broadcast
> 
> je redirige les ip .226 à .237 sur des ip internes
> 
> par exemple pour la .226 :
> 
> rdr on ext_if proto tcp from any to x.x.x.226 port 80 -> y.y.y.226 port
> 80
> et je laisse passer les protocoles
> pass in on ext_if proto tcp from any to y.y.y.226 port 80 keep state
> pass out on dz1_if proto tcp from anu to y.y.y.226 port 80 keep state
> 
> si je fait un tcpdump ext_if dst x.x.x.226  je ne vois rien venir
> 
> depuis l'exterieur je ne ping pas x.x.x.226 par contre la x.x.x.225 est
> ok (ssh sur la .225 aussi)
> 
> dans le hostname.ext_if j'ai :
> 
> inet x.x.x.225 255.255.255.240 x.x.x.239
> inet alias x.x.x.226 255.255.255.255 NONE
> ..... jusqu'a .237
> 
> 
> sur l'ancien fw (OpenBSD 2.9) j'ai la même configuration au niveau de la
> carte ext_if, ifconfig me donne la même chose.
> 
> Je ne trouve pas l'erreur que j'ai faite !!! elle doit être enorme
> 
> Y a t'il une conf spécifique pour les alias ?
> 
> Merci
> 
> Patrick
> 
> Le ven 04/06/2004 à 12:29, Laurent Cheylus a écrit :
> > Bonjour,
> > 
> > On Fri, Jun 04, 2004 at 11:39:02AM +0200, Patrick Noel wrote:
> > > dans pf.conf j'utilise rdr pour rediriger les requettes externe http
> > > vers un serveur interne. Pour autoriser l'http à entrer (si j'ai bien
> > > compris) il y a deux methodes :
> > > 
> > > ext_if 		: interface externe
> > > dmz_if 		: interface interne
> > > http_www 	: adresse externe du serveur http
> > > http_dmz 	: adresse interne du serveur http 
> > > 
> > > rdr on ext_if proto tcp from any to $http_www port 80 -> $http_dmz port
> > > 80
> > > 
> > > et
> > > 
> > > pass in on ext_if proto tcp from any to $http_dmz port 80 keep state
> > > pass out on dmz_if proto tcp from any to $http_dmz port 80 keep state
> > > 
> > > 
> > > ou
> > > 
> > > rdr pass on ext_if proto tcp from any to $http_www port 80 -> $http_dmz
> > > port 80
> > > 
> > > et
> > > 
> > > pass out on dmz_if proto tcp from any to $http_dmz port 80 keep state
> > 
> > Les 2 solutions sont équivalentes : la règle de translation "rdr pass on
> > ext_if proto tcp from any to $http_www port 80 -> $http_dmz port 80"
> > équivaut à la règle de translation + règle 'pass in' (avec suivi de
> > connexion).
> > 
> > Extrait de pf.conf :
> > 
> > Packets that match a translation rule are only automatically passed if 
> > the pass modifier is given, otherwise they are still subject to block 
> > and pass rules.
> > 
> > The state entry created permits pf(4) to keep track of the original ad-
> > dress for traffic associated with that state and correctly direct
> > return traffic for that connection.
> > 
> > Libre à vous de choisr une solution ou l'autre suivant la lisibilité
> > voulue pour vore conf PF.
> > 
> > A++ Foxy
> 
> 
> ---------------------------------------------------------------------
> To unsubscribe, e-mail: openbsd-france-misc-unsubscribe AT openbsd-france POINT org
> For additional commands, e-mail: openbsd-france-misc-help AT openbsd-france POINT org
> 
>