Re: [obsdfr-misc] pf avec une seule interface réseau

[Nicolas Bernard <nbernard-openbsd-france-misc-0db344c2cee665147c3f8eb57c6fe87ce7c5b0d1 AT lafraze POINT net>]

Larkine(larkine AT gmail POINT com)@2006.11.03 22:02:48 +0100 wrote:
> Merci d'avoir répondu aussi rapidement. Pour reprendre le problème que
> je rencontre
> actuellement avec la gestion du protocole FTP qui n'est toujours pas
> résolu. Je me pose
> même la question s'il existe vraiment une solution. Comme expliqué un
> peu plus haut
> je possède une seule interface réseau qui se nomme ndis0 et
> malheureusement lorsque
> j'exécute la commande ftp.freebsd.org ou ftp.openbsd.org ce sont bien
> des données
> sortantes donc la rdr ne fonctionne pas à ce niveau seulement pour des
> données entrantes.
> 
> J'ai trouvé tout de même une alternative avec un :
> table <ftpservers> persit file "/etc/ftpservers"
> 
> J'indique les serveurs dans cette liste et pour le filtrage cette ligne:
> pass out $logpass quick inet proto tcp from ($int_if) to <ftpservers>
> $tcpflags keep state
> 
> Cette solution fonctionne mais lorsque vous devez mettre à jour vos
> ports via portupgrade,
> vous ne pouvez pas connaître à l'avance toutes les adresses des serveurs
> ftp et cela devient
> difficile à gérer voir impossible.
> 
> La politique de mon pare-feu c'est de tout bloquer et d'autoriser ce
> dont j'ai besoin. Je suis
> très triste de constaster que lorsque vous avez une seule machine qu'il
> n'y est pas de solutions.

Est-ce réellement un problème de firewall? Si tu veux
imposer l'utilisation d'un proxy, il faut plutôt configurer les
applications pour l'utiliser et n'utiliser le firewall que pour
bloquer/détecter les contrevenants...

En l'occurrence, ne pourrais-tu pas utiliser la variable d'environnement
ftp_proxy pour dire à ftp de passer par le proxy (jamais essayé ceci
dit)?

N.