[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: [obsdfr-misc] pf avec une seule interface réseau
Nicolas Bernard a écrit :
> Nicolas Bernard(nbernard-openbsd-france-misc-0db344c2cee665147c3f8eb57c6fe87ce7c5b0d1 AT lafraze POINT net)@2006.11.03 22:19:23 +0100 wrote:
>> Larkine(larkine AT gmail POINT com)@2006.11.03 22:02:48 +0100 wrote:
>>> Merci d'avoir répondu aussi rapidement. Pour reprendre le problème que
>>> je rencontre
>>> actuellement avec la gestion du protocole FTP qui n'est toujours pas
>>> résolu. Je me pose
>>> même la question s'il existe vraiment une solution. Comme expliqué un
>>> peu plus haut
>>> je possède une seule interface réseau qui se nomme ndis0 et
>>> malheureusement lorsque
>>> j'exécute la commande ftp.freebsd.org ou ftp.openbsd.org ce sont bien
>>> des données
>>> sortantes donc la rdr ne fonctionne pas à ce niveau seulement pour des
>>> données entrantes.
>>>
>>> J'ai trouvé tout de même une alternative avec un :
>>> table <ftpservers> persit file "/etc/ftpservers"
>>>
>>> J'indique les serveurs dans cette liste et pour le filtrage cette ligne:
>>> pass out $logpass quick inet proto tcp from ($int_if) to <ftpservers>
>>> $tcpflags keep state
>>>
>>> Cette solution fonctionne mais lorsque vous devez mettre à jour vos
>>> ports via portupgrade,
>>> vous ne pouvez pas connaître à l'avance toutes les adresses des serveurs
>>> ftp et cela devient
>>> difficile à gérer voir impossible.
>>>
>>> La politique de mon pare-feu c'est de tout bloquer et d'autoriser ce
>>> dont j'ai besoin. Je suis
>>> très triste de constaster que lorsque vous avez une seule machine qu'il
>>> n'y est pas de solutions.
>> Est-ce réellement un problème de firewall? Si tu veux
>> imposer l'utilisation d'un proxy, il faut plutôt configurer les
>> applications pour l'utiliser et n'utiliser le firewall que pour
>> bloquer/détecter les contrevenants...
>>
>> En l'occurrence, ne pourrais-tu pas utiliser la variable d'environnement
>> ftp_proxy pour dire à ftp de passer par le proxy (jamais essayé ceci
>> dit)?
>
> Bien sûr, comme le proxy est sur la même machine, il faudra sans doute
> que tu utilises une règle pour autoriser les connexions sortantes vers
> le port 21 des machines distantes par l'utilisateur du proxy.
>
> N.
>
>
> ---------------------------------------------------------------------
> To unsubscribe, e-mail: openbsd-france-misc-unsubscribe AT openbsd-france POINT org
> For additional commands, e-mail: openbsd-france-misc-help AT openbsd-france POINT org
>
>
Bonjour,
> En l'occurrence, ne pourrais-tu pas utiliser la variable d'environnement
> ftp_proxy pour dire à ftp de passer par le proxy (jamais essayé ceci
> dit)?
Je réalise les tests avec un ami qui possède lui aussi une seule station
de travail
et qui désire configurer pf comme pare-feu parsonnel. Il se heurte au
même problème
que moi, la gestion du protocole FTP.
Nous trouvons étranges que personne n'est rencontré ce problème avec des
règles de filtrage
strictes pour sa station de travail ou bien alors nous avons mal
cherché. Ce qui peut arriver.
Nous avons suivis votre idée, de renseigner la variable ftp_proxy comme
suit:
setenv ftp_proxy 127.0.0.1:8021 voir export ftp_proxy 127.0.0.1:8021
après une multitude de test et via un script en perl, nous avons
constaté que nous passions
bien par le proxy mais nous n'accèdons pas encore à internet.
>Bien sûr, comme le proxy est sur la même machine, il faudra sans doute
>que tu utilises une règle pour autoriser les connexions sortantes vers
>le port 21 des machines distantes par l'utilisateur du proxy.
Nous sommes actuellement bloqués sur cette règle de filtrage pf.
Pourriez-vous nous indiquer
un petit exemple afin de nous diriger sur la bonne voie.
Merci pour l'aide apportée