Re: [obsdfr-misc] Règles pf

[Vincent Heurteaux <v POINT heurteaux AT wanadoo.fr>]

Bon, effectivement c'est trop complexe comme jeu de règles,, mais j'ai
réellement besoin de pouvoir configurer ce qui rentre et sort du wifi,
ne serai-ce que pour la mise en place du tunnel Ipsec. Du coup je me
suis dit pourquoi ne pas gérer plus finement les flux entre les autre
interfaces, et j'ai entrepris de créer les regles une à une pour obtenir
la vision la plus détaillée des flux sur ma passerelle. Après avoir tout
bloqué, j'ai créé les règles passantes "in" et "out" pour l'interface
externe, et pour chacune des interfaces internes. L'interface externe
laisse bien passer les flux concernés sur la passerelle, et les
interfaces internes communiquent parfaitement entre elles. En revanche
ce qui ne fonctionne pas, c'est la communication entre les interfaces
internes et l'interface externe, c'est pour cette raison que j'ai créé
la section "Traffic interne/externe" dans le pf.conf, mais ça ne
semblait pas vraiment utile a priori.

Sinon j'ai fait une conf pour la quelle je ne décris pas les flux au
sein de la passerelle en positionnant à any la destination de tous les
flux entrant et à any la source des flux sortant de la passerelle.
Là c'est effectivement plus simple et ça marche, sauf de façon
inexpliquée pour la DMZ, bien que la config soit identique à celles des
autre interfaces internes. En effet, pour celle-ci, une communication
ssh, pop, smtp ou autre prend un temps interminable à s'activer, alors
que c'est instantané lorsqu'on passe les règles in et out à all.
Derrière, la machine incriminée comporte un netbsd 2.0 tout frais et pas
encore peaufiné. Alors si quelqu'un  à une idée ...

Voila sinon dans le principe je ne comprend pas comment demander à pf de
mettre en relation les if. internes et l'externe ... mystère 


Le samedi 26 mars 2005 à 11:06 +0100, philafil AT free POINT fr a écrit :
> Bonjour,
> 
> Quoting Vincent Heurteaux <v POINT heurteaux AT wanadoo.fr>:
> 
> > Oui pour le \ c'est juste un problème de copier/coller, sur ma conf tout
> > est sur une seule ligne.
> > C'est vrai que cette conf est complexe, mais j'ai volontairement tout
> > décomposé en espérant pouvoir simplifier ça par la suite.
> > En fait,ce qui est difficilement compréhensible, c'est que toutes les
> > interfaces internes communiquent entre elles sans problème, mais que dès
> > que je cherche à établir une communication vers l'externe ça bloque.
> > Un autre point, avec le proxy ftp je parviens à établir un contact avec
> > un serveur (avec déconnexion au moment du passage en mode passif), ce
> > qui m'a orienté sur une histoire de nat, mais la encore je n'ai rien
> > trouvé. J'avais pensé à un problème de loopback sur la passerelle, mais
> > là encore les investigations n'ont rien donné.
> 
> Moi, je n'arrive pas déjà à configurer ma console ...
> Mais pourquoi tu fais des régles aussi complexe sur le reseau interne ?
> A cetrain endroit il me semble que tu as fais deux variables alors que une
> suffit ... ( je me trompe peut-être )!
> 
> >
> > Si quelqu'un à un bon pointeur sur l'analyse des traces avec tcpdump
> > orienté débuggage de pf je suis preneur.
> >
> 
> A chaud , pfctl, doit te permettre pas mal de chose
> 
> Philippe
> 
> ---------------------------------------------------------------------
> To unsubscribe, e-mail: openbsd-france-misc-unsubscribe AT openbsd-france POINT org
> For additional commands, e-mail: openbsd-france-misc-help AT openbsd-france POINT org
> 
>