[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: [obsdfr-misc] Règles pf
Bonjour,
C'est quoi :
nat on $ext_if from !($ext_if) -> ($ext_if:0)
et �:
pass out on $ext_if inet proto tcp from $ext_if to any port \
$tcp_passerelle_vers_internet flags S/SA modulate state
Il faut pas changer la 2 interface, c'est pas sur une autre variable ?
Philippe
--
(je suis pas sur de se que je dis !!! )
Quoting Vincent Heurteaux <v POINT heurteaux AT wanadoo.fr>:
> Bon, effectivement c'est trop complexe comme jeu de règles,, mais j'ai
> réellement besoin de pouvoir configurer ce qui rentre et sort du wifi,
> ne serai-ce que pour la mise en place du tunnel Ipsec. Du coup je me
> suis dit pourquoi ne pas gérer plus finement les flux entre les autre
> interfaces, et j'ai entrepris de créer les regles une � une pour obtenir
> la vision la plus détaillée des flux sur ma passerelle. Après avoir tout
> bloqué, j'ai créé les règles passantes "in" et "out" pour l'interface
> externe, et pour chacune des interfaces internes. L'interface externe
> laisse bien passer les flux concernés sur la passerelle, et les
> interfaces internes communiquent parfaitement entre elles. En revanche
> ce qui ne fonctionne pas, c'est la communication entre les interfaces
> internes et l'interface externe, c'est pour cette raison que j'ai créé
> la section "Traffic interne/externe" dans le pf.conf, mais ça ne
> semblait pas vraiment utile a priori.
>
> Sinon j'ai fait une conf pour la quelle je ne décris pas les flux au
> sein de la passerelle en positionnant � any la destination de tous les
> flux entrant et � any la source des flux sortant de la passerelle.
> L� c'est effectivement plus simple et ça marche, sauf de façon
> inexpliquée pour la DMZ, bien que la config soit identique � celles des
> autre interfaces internes. En effet, pour celle-ci, une communication
> ssh, pop, smtp ou autre prend un temps interminable � s'activer, alors
> que c'est instantané lorsqu'on passe les règles in et out � all.
> Derrière, la machine incriminée comporte un netbsd 2.0 tout frais et pas
> encore peaufiné. Alors si quelqu'un � une idée ...
>
> Voila sinon dans le principe je ne comprend pas comment demander � pf de
> mettre en relation les if. internes et l'externe ... mystère
>
>
> Le samedi 26 mars 2005 � 11:06 +0100, philafil AT free POINT fr a écrit :
> > Bonjour,
> >
> > Quoting Vincent Heurteaux <v POINT heurteaux AT wanadoo.fr>:
> >
> > > Oui pour le \ c'est juste un problème de copier/coller, sur ma conf
> tout
> > > est sur une seule ligne.
> > > C'est vrai que cette conf est complexe, mais j'ai volontairement tout
> > > décomposé en espérant pouvoir simplifier ça par la suite.
> > > En fait,ce qui est difficilement compréhensible, c'est que toutes les
> > > interfaces internes communiquent entre elles sans problème, mais que
> dès
> > > que je cherche à établir une communication vers l'externe ça
> bloque.
> > > Un autre point, avec le proxy ftp je parviens à établir un contact
> avec
> > > un serveur (avec déconnexion au moment du passage en mode passif), ce
> > > qui m'a orienté sur une histoire de nat, mais la encore je n'ai rien
> > > trouvé. J'avais pensé à un problème de loopback sur la
> passerelle, mais
> > > là encore les investigations n'ont rien donné.
> >
> > Moi, je n'arrive pas déj� � configurer ma console ...
> > Mais pourquoi tu fais des régles aussi complexe sur le reseau interne ?
> > A cetrain endroit il me semble que tu as fais deux variables alors que une
> > suffit ... ( je me trompe peut-être )!
> >
> > >
> > > Si quelqu'un à un bon pointeur sur l'analyse des traces avec tcpdump
> > > orienté débuggage de pf je suis preneur.
> > >
> >
> > A chaud , pfctl, doit te permettre pas mal de chose
> >
> > Philippe
> >
> > ---------------------------------------------------------------------
> > To unsubscribe, e-mail: openbsd-france-misc-unsubscribe AT openbsd-france POINT org
> > For additional commands, e-mail:
> openbsd-france-misc-help AT openbsd-france POINT org
> >
> >
>
>
> ---------------------------------------------------------------------
> To unsubscribe, e-mail: openbsd-france-misc-unsubscribe AT openbsd-france POINT org
> For additional commands, e-mail: openbsd-france-misc-help AT openbsd-france POINT org
>
>