[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [obsdfr-misc] pf avec une seule interface réseau

From: Larkine <larkine AT gmail POINT com>
To: openbsd-france-misc AT openbsd-france POINT org
Subject: Re: [obsdfr-misc] pf avec une seule interface réseau
Date: Fri, 03 Nov 2006 22:02:48 +0100

Olivier Debré a écrit :
> Je ne suis pas sûr de bien comprendre ni d'avoir la bonne idée, mais
> essayons toujours.
> 
> Le vendredi 03 novembre 2006 à 12:42 +0100, Larkine a écrit :
> [...]
>> # Antispoof
>> antispoof for { $int_if_1 $int_if_2 }
> 
> Je me demande ce que signifie un « antispoof for lo0  ».
> 
>> # Autorise le traffic ftp avec ftp-proxy
>> pass in $logpass on $int_if_2 inet proto tcp from $int_if_2 port > 49151 \
>> keep state
> [...]
>> Je pense que la rdr ne fonctionne pas vu que les paquets sont sortant et
>> qu'elle fonctionne uniquement sur les paquets entrant.
>> Je ne vois pas comment régler mon
>> problème.
>> Du coup, j'amerai savoir s'il est possible de redirigé ces fameux
>> paquets sortant ? Je suis vraiment pommé. Merci à l'avance de votre aide.
> 
> Si je comprends bien ton setup, tu as une seule machine, en FreeBSD,
> avec pf, et c'est depuis celle-là que tu essayes FTP, OK ?
> Alors je pense que le rdr n'est pas sur l'interface physique, mais sur
> le loopback, non ? J'essayerais un :
> 
> rdr on lo0 proto tcp from any to any port 21 -> 127.0.0.1 port 8021
> 
> Et mets en commentaires tes « pass quick on lo0 ».
> 
> Autre question : FTP actif ou passif ?
> 
> Rien à dire sur tes inetd.conf, rc.conf et services. Je te cite les
> bouts significatifs de mon pf.conf, qui correspond à un parefeu plus
> classique, à trois interfaces (oublions la DMZ pour ton pb), et qui
> fonctionne pour des clients FTP passif ou actif sur le LAN :
> 
> $lan_if est l'interface côté LAN
> $ext_if est l'interface côté modem
> $fw_ext_ip est l'IP parefeu côté modem
> 
> rdr on $lan_if inet proto tcp from <lan_net> to any port 21 -> 127.0.0.1
> port 8081
> 
> pass in log quick on $lan_if inet proto tcp from <lan_net> to any port
> 21 flags S/AUPRFS modulate state
> pass out log quick on $ext_if inet proto tcp from $fw_ext_ip to any port
> 21 flags S/AUPRFS modulate state
> pass in log quick on $lan_if inet proto tcp from <lan_net> to any port >
> 1024 flags S/AUPRFS modulate state
> pass out log quick on $ext_if inet proto tcp from $fw_ext_ip to any port
>> 1024 flags S/AUPRFS modulate state
> pass in log quick on $ext_if inet proto tcp from any port 20 to
> $fw_ext_ip port 55000 >< 57000 user proxy flags S/SA keep state
> pass out log quick on $ext_if inet proto tcp from $fw_ext_ip to any port
> 20 flags S/AUPFRS modulate state
> 
> 
> 
> ---------------------------------------------------------------------
> To unsubscribe, e-mail: openbsd-france-misc-unsubscribe AT openbsd-france POINT org
> For additional commands, e-mail: openbsd-france-misc-help AT openbsd-france POINT org
> 
> 

Bonjour,

Merci d'avoir répondu aussi rapidement. Pour reprendre le problème que
je rencontre
actuellement avec la gestion du protocole FTP qui n'est toujours pas
résolu. Je me pose
même la question s'il existe vraiment une solution. Comme expliqué un
peu plus haut
je possède une seule interface réseau qui se nomme ndis0 et
malheureusement lorsque
j'exécute la commande ftp.freebsd.org ou ftp.openbsd.org ce sont bien
des données
sortantes donc la rdr ne fonctionne pas à ce niveau seulement pour des
données entrantes.

J'ai trouvé tout de même une alternative avec un :
table <ftpservers> persit file "/etc/ftpservers"

J'indique les serveurs dans cette liste et pour le filtrage cette ligne:
pass out $logpass quick inet proto tcp from ($int_if) to <ftpservers>
$tcpflags keep state

Cette solution fonctionne mais lorsque vous devez mettre à jour vos
ports via portupgrade,
vous ne pouvez pas connaître à l'avance toutes les adresses des serveurs
ftp et cela devient
difficile à gérer voir impossible.

La politique de mon pare-feu c'est de tout bloquer et d'autoriser ce
dont j'ai besoin. Je suis
très triste de constaster que lorsque vous avez une seule machine qu'il
n'y est pas de solutions.
Je ne vais pas acheter un autre pc afin d'en faire un routeur :rire: Je
ne suis pas non plus un expert
en pare-feu mais j'aimerai savoir si avec pf ,il est possible de
redirigé des paquets sortants vers un
port choisit ?

Je ne sais plus vers qui me tourner. Je vous remercie à l'avance pour
l'aide que vous m'apporter.

Merci.

Follow-Ups:
- Re: [obsdfr-misc] pf avec une seule interface réseau
  - From: Nicolas Bernard

References:
- pf avec une seule interface réseau
  - From: Larkine
- Re: [obsdfr-misc] pf avec une seule interface réseau
  - From: Olivier Debré

Prev by Date: Re: [obsdfr-misc] pf avec une seule interface réseau
Next by Date: Re: [obsdfr-misc] pf avec une seule interface réseau
Previous by thread: Re: [obsdfr-misc] pf avec une seule interface réseau
Next by thread: Re: [obsdfr-misc] pf avec une seule interface réseau
Index(es):
- Date
- Thread