[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [obsdfr-misc] pf avec une seule interface réseau

From: Nicolas Bernard <nbernard-openbsd-france-misc-0db344c2cee665147c3f8eb57c6fe87ce7c5b0d1 AT lafraze POINT net>
To: openbsd-france-misc AT openbsd-france POINT org
Subject: Re: [obsdfr-misc] pf avec une seule interface réseau
Date: Fri, 3 Nov 2006 22:35:27 +0100

Nicolas Bernard(nbernard-openbsd-france-misc-0db344c2cee665147c3f8eb57c6fe87ce7c5b0d1 AT lafraze POINT net)@2006.11.03 22:19:23 +0100 wrote:
> Larkine(larkine AT gmail POINT com)@2006.11.03 22:02:48 +0100 wrote:
> > Merci d'avoir répondu aussi rapidement. Pour reprendre le problème que
> > je rencontre
> > actuellement avec la gestion du protocole FTP qui n'est toujours pas
> > résolu. Je me pose
> > même la question s'il existe vraiment une solution. Comme expliqué un
> > peu plus haut
> > je possède une seule interface réseau qui se nomme ndis0 et
> > malheureusement lorsque
> > j'exécute la commande ftp.freebsd.org ou ftp.openbsd.org ce sont bien
> > des données
> > sortantes donc la rdr ne fonctionne pas à ce niveau seulement pour des
> > données entrantes.
> > 
> > J'ai trouvé tout de même une alternative avec un :
> > table <ftpservers> persit file "/etc/ftpservers"
> > 
> > J'indique les serveurs dans cette liste et pour le filtrage cette ligne:
> > pass out $logpass quick inet proto tcp from ($int_if) to <ftpservers>
> > $tcpflags keep state
> > 
> > Cette solution fonctionne mais lorsque vous devez mettre à jour vos
> > ports via portupgrade,
> > vous ne pouvez pas connaître à l'avance toutes les adresses des serveurs
> > ftp et cela devient
> > difficile à gérer voir impossible.
> > 
> > La politique de mon pare-feu c'est de tout bloquer et d'autoriser ce
> > dont j'ai besoin. Je suis
> > très triste de constaster que lorsque vous avez une seule machine qu'il
> > n'y est pas de solutions.
> 
> Est-ce réellement un problème de firewall? Si tu veux
> imposer l'utilisation d'un proxy, il faut plutôt configurer les
> applications pour l'utiliser et n'utiliser le firewall que pour
> bloquer/détecter les contrevenants...
> 
> En l'occurrence, ne pourrais-tu pas utiliser la variable d'environnement
> ftp_proxy pour dire à ftp de passer par le proxy (jamais essayé ceci
> dit)?

Bien sûr, comme le proxy est sur la même machine, il faudra sans doute
que tu utilises une règle pour autoriser les connexions sortantes vers
le port 21 des machines distantes par l'utilisateur du proxy.

N.

Follow-Ups:
- Re: [obsdfr-misc] pf avec une seule interface réseau
  - From: Larkine

References:
- pf avec une seule interface réseau
  - From: Larkine
- Re: [obsdfr-misc] pf avec une seule interface réseau
  - From: Olivier Debré
- Re: [obsdfr-misc] pf avec une seule interface réseau
  - From: Larkine
- Re: [obsdfr-misc] pf avec une seule interface réseau
  - From: Nicolas Bernard

Prev by Date: Re: [obsdfr-misc] pf avec une seule interface réseau
Next by Date: Re: [obsdfr-misc] pf avec une seule interface réseau
Previous by thread: Re: [obsdfr-misc] pf avec une seule interface réseau
Next by thread: Re: [obsdfr-misc] pf avec une seule interface réseau
Index(es):
- Date
- Thread