[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [obsdfr-misc] pf avec une seule interface réseau

From: Olivier Debré <pyrrhocorax AT free POINT fr>
To: openbsd-france-misc AT openbsd-france POINT org
Subject: Re: [obsdfr-misc] pf avec une seule interface réseau
Date: Fri, 03 Nov 2006 20:55:39 +0100

Je ne suis pas sûr de bien comprendre ni d'avoir la bonne idée, mais
essayons toujours.

Le vendredi 03 novembre 2006 à 12:42 +0100, Larkine a écrit :
[...]
> # Antispoof
> antispoof for { $int_if_1 $int_if_2 }

Je me demande ce que signifie un « antispoof for lo0  ».

> # Autorise le traffic ftp avec ftp-proxy
> pass in $logpass on $int_if_2 inet proto tcp from $int_if_2 port > 49151 \
> keep state
[...]
> Je pense que la rdr ne fonctionne pas vu que les paquets sont sortant et
> qu'elle fonctionne uniquement sur les paquets entrant.
> Je ne vois pas comment régler mon
> problème.
> Du coup, j'amerai savoir s'il est possible de redirigé ces fameux
> paquets sortant ? Je suis vraiment pommé. Merci à l'avance de votre aide.

Si je comprends bien ton setup, tu as une seule machine, en FreeBSD,
avec pf, et c'est depuis celle-là que tu essayes FTP, OK ?
Alors je pense que le rdr n'est pas sur l'interface physique, mais sur
le loopback, non ? J'essayerais un :

rdr on lo0 proto tcp from any to any port 21 -> 127.0.0.1 port 8021

Et mets en commentaires tes « pass quick on lo0 ».

Autre question : FTP actif ou passif ?

Rien à dire sur tes inetd.conf, rc.conf et services. Je te cite les
bouts significatifs de mon pf.conf, qui correspond à un parefeu plus
classique, à trois interfaces (oublions la DMZ pour ton pb), et qui
fonctionne pour des clients FTP passif ou actif sur le LAN :

$lan_if est l'interface côté LAN
$ext_if est l'interface côté modem
$fw_ext_ip est l'IP parefeu côté modem

rdr on $lan_if inet proto tcp from <lan_net> to any port 21 -> 127.0.0.1
port 8081

pass in log quick on $lan_if inet proto tcp from <lan_net> to any port
21 flags S/AUPRFS modulate state
pass out log quick on $ext_if inet proto tcp from $fw_ext_ip to any port
21 flags S/AUPRFS modulate state
pass in log quick on $lan_if inet proto tcp from <lan_net> to any port >
1024 flags S/AUPRFS modulate state
pass out log quick on $ext_if inet proto tcp from $fw_ext_ip to any port
> 1024 flags S/AUPRFS modulate state
pass in log quick on $ext_if inet proto tcp from any port 20 to
$fw_ext_ip port 55000 >< 57000 user proxy flags S/SA keep state
pass out log quick on $ext_if inet proto tcp from $fw_ext_ip to any port
20 flags S/AUPFRS modulate state

Follow-Ups:
- Re: [obsdfr-misc] pf avec une seule interface réseau
  - From: Larkine

References:
- pf avec une seule interface réseau
  - From: Larkine

Prev by Date: pf avec une seule interface réseau
Next by Date: Re: [obsdfr-misc] pf avec une seule interface réseau
Previous by thread: pf avec une seule interface réseau
Next by thread: Re: [obsdfr-misc] pf avec une seule interface réseau
Index(es):
- Date
- Thread