[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [obsdfr-misc] Règles pf

From: Vincent Heurteaux <v POINT heurteaux AT wanadoo.fr>
To: openbsd-france-misc AT openbsd-france POINT org
Subject: Re: [obsdfr-misc] Règles pf
Date: Sat, 26 Mar 2005 19:28:51 +0100

> C'est quoi :
> nat on $ext_if from !($ext_if) -> ($ext_if:0)
on fait du nat vers $ext_if pour toutes les interfaces présentes qui ne
sont pas $ext_if
> et a :
> pass out on $ext_if inet proto tcp from $ext_if to any port \
> $tcp_passerelle_vers_internet flags S/SA modulate state

on autorise à sortir de la passerelle les ports
$tcp_passerelle_vers_internet 
> Il faut pas changer la 2 interface, c'est pas sur une autre variable ?
Ben non le pb est ailleurs, si je positionne "any à la place de $ext_if
c'est  la même chose.

> 
> Philippe
> 
> --
> (je suis pas sur de se que je dis !!! )
> Quoting Vincent Heurteaux <v POINT heurteaux AT wanadoo.fr>:
> 
> > Bon, effectivement c'est trop complexe comme jeu de règles,, mais j'ai
> > réellement besoin de pouvoir configurer ce qui rentre et sort du wifi,
> > ne serai-ce que pour la mise en place du tunnel Ipsec. Du coup je me
> > suis dit pourquoi ne pas gérer plus finement les flux entre les autre
> > interfaces, et j'ai entrepris de créer les regles une   une pour obtenir
> > la vision la plus détaillée des flux sur ma passerelle. Après avoir tout
> > bloqué, j'ai créé les règles passantes "in" et "out" pour l'interface
> > externe, et pour chacune des interfaces internes. L'interface externe
> > laisse bien passer les flux concernés sur la passerelle, et les
> > interfaces internes communiquent parfaitement entre elles. En revanche
> > ce qui ne fonctionne pas, c'est la communication entre les interfaces
> > internes et l'interface externe, c'est pour cette raison que j'ai créé
> > la section "Traffic interne/externe" dans le pf.conf, mais ça ne
> > semblait pas vraiment utile a priori.
> >
> > Sinon j'ai fait une conf pour la quelle je ne décris pas les flux au
> > sein de la passerelle en positionnant   any la destination de tous les
> > flux entrant et   any la source des flux sortant de la passerelle.
> > L  c'est effectivement plus simple et ça marche, sauf de façon
> > inexpliquée pour la DMZ, bien que la config soit identique   celles des
> > autre interfaces internes. En effet, pour celle-ci, une communication
> > ssh, pop, smtp ou autre prend un temps interminable   s'activer, alors
> > que c'est instantané lorsqu'on passe les règles in et out   all.
> > Derrière, la machine incriminée comporte un netbsd 2.0 tout frais et pas
> > encore peaufiné. Alors si quelqu'un    une idée ...
> >
> > Voila sinon dans le principe je ne comprend pas comment demander   pf de
> > mettre en relation les if. internes et l'externe ... mystère
> >
> >
> > Le samedi 26 mars 2005   11:06 +0100, philafil AT free POINT fr a écrit :
> > > Bonjour,
> > >
> > > Quoting Vincent Heurteaux <v POINT heurteaux AT wanadoo.fr>:
> > >
> > > > Oui pour le \ c'est juste un problÃ¨me de copier/coller, sur ma conf
> > tout
> > > > est sur une seule ligne.
> > > > C'est vrai que cette conf est complexe, mais j'ai volontairement tout
> > > > dÃ©composÃ© en espÃ©rant pouvoir simplifier Ã§a par la suite.
> > > > En fait,ce qui est difficilement comprÃ©hensible, c'est que toutes les
> > > > interfaces internes communiquent entre elles sans problÃ¨me, mais que
> > dÃ¨s
> > > > que je cherche Ã  Ã©tablir une communication vers l'externe Ã§a
> > bloque.
> > > > Un autre point, avec le proxy ftp je parviens Ã  Ã©tablir un contact
> > avec
> > > > un serveur (avec dÃ©connexion au moment du passage en mode passif), ce
> > > > qui m'a orientÃ© sur une histoire de nat, mais la encore je n'ai rien
> > > > trouvÃ©. J'avais pensÃ© Ã  un problÃ¨me de loopback sur la
> > passerelle, mais
> > > > lÃ  encore les investigations n'ont rien donnÃ©.
> > >
> > > Moi, je n'arrive pas déj    configurer ma console ...
> > > Mais pourquoi tu fais des régles aussi complexe sur le reseau interne ?
> > > A cetrain endroit il me semble que tu as fais deux variables alors que une
> > > suffit ... ( je me trompe peut-être )!
> > >
> > > >
> > > > Si quelqu'un Ã  un bon pointeur sur l'analyse des traces avec tcpdump
> > > > orientÃ© dÃ©buggage de pf je suis preneur.
> > > >
> > >
> > > A chaud , pfctl, doit te permettre pas mal de chose
> > >
> > > Philippe
> > >
> > > ---------------------------------------------------------------------
> > > To unsubscribe, e-mail: openbsd-france-misc-unsubscribe AT openbsd-france POINT org
> > > For additional commands, e-mail:
> > openbsd-france-misc-help AT openbsd-france POINT org
> > >
> > >
> >
> >
> > ---------------------------------------------------------------------
> > To unsubscribe, e-mail: openbsd-france-misc-unsubscribe AT openbsd-france POINT org
> > For additional commands, e-mail: openbsd-france-misc-help AT openbsd-france POINT org
> >
> >
> 
> 
> 
> ---------------------------------------------------------------------
> To unsubscribe, e-mail: openbsd-france-misc-unsubscribe AT openbsd-france POINT org
> For additional commands, e-mail: openbsd-france-misc-help AT openbsd-france POINT org
> 
>

References:
- Règles pf
  - From: Vincent Heurteaux
- Re: [obsdfr-misc] Règles pf
  - From: philafil
- Re: [obsdfr-misc] Règles pf
  - From: Vincent Heurteaux
- Re: [obsdfr-misc] Règles pf
  - From: philafil
- Re: [obsdfr-misc] Règles pf
  - From: Vincent Heurteaux
- Re: [obsdfr-misc] Règles pf
  - From: philafil

Prev by Date: Re: [obsdfr-misc] Compile kernel
Next by Date: Re: [obsdfr-misc] Compile kernel
Previous by thread: Re: [obsdfr-misc] Règles pf
Next by thread: ssh & putty & colorls -G
Index(es):
- Date
- Thread