[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [obsdfr-misc] pf avec une seule interface réseau

From: Nicolas Bernard <nbernard-openbsd-france-misc-0db344c2cee665147c3f8eb57c6fe87ce7c5b0d1 AT lafraze POINT net>
To: openbsd-france-misc AT openbsd-france POINT org
Subject: Re: [obsdfr-misc] pf avec une seule interface réseau
Date: Sat, 4 Nov 2006 07:42:00 +0100

Hello,

> Nous trouvons étranges que personne n'est rencontré ce problème avec des
> règles de filtrage
> strictes pour sa station de travail ou bien alors nous avons mal
> cherché. Ce qui peut arriver.

La mode actuelle est plus "un firewall pour protéger tout un réseau",
ajouté au fait que les gens utilisent généralement des règles
strictes en entrée et laxistes en sortie... Je ne dis pas que c'est
bien, je dis juste que c'est un fait.

Il faut tout de même noter qu'il y a des cas où le firewall apporte
plus de problèmes qu'autre chose. Dans le cas du portupgrade de FreeBSD
par exemple, comme il me semble qu'il tourne par défaut en root, s'il a
envie de faire des choses étranges il peut le faire. Et même s'il y a
une protection comme un securelevel qui empêche de changer les règles
du firewall (je ne suis pas certain que les securelevel de FreeBSD
permettent cela), portupgrade est bien placé pour modifier un programme
qui fera ce qu'il a envie à la prochaine exécution...

> setenv ftp_proxy 127.0.0.1:8021 voir export ftp_proxy 127.0.0.1:8021
> après une multitude de test et via un script en perl, nous avons
> constaté que nous passions
> bien par le proxy mais nous n'accèdons pas encore à internet.
> 
> >Bien sûr, comme le proxy est sur la même machine, il faudra sans doute
> >que tu utilises une règle pour autoriser les connexions sortantes vers
> >le port 21 des machines distantes par l'utilisateur du proxy.
> 
> Nous sommes actuellement bloqués sur cette règle de filtrage pf.
> Pourriez-vous nous indiquer
> un petit exemple afin de nous diriger sur la bonne voie.

L'idée est d'utiliser des règles génériques qui permettent l'accès
à n'importe quel serveur FTP, en les restreignant avec un 'user proxy'
au bout pour que ces règles ne s'appliquent plus qu'au
programme ftp-proxy (en supposant qu'il fonctionne en tant
qu'utilisateur "proxy").

Par exemple pour sortir, une règle comme celle-ci pourrait marcher:
pass out proto tcp to any port 21 user proxy keep state

Bon courage en tout cas!
N.

Follow-Ups:
- Re: [obsdfr-misc] pf avec une seule interface réseau
  - From: Larkine

References:
- pf avec une seule interface réseau
  - From: Larkine
- Re: [obsdfr-misc] pf avec une seule interface réseau
  - From: Olivier Debré
- Re: [obsdfr-misc] pf avec une seule interface réseau
  - From: Larkine
- Re: [obsdfr-misc] pf avec une seule interface réseau
  - From: Nicolas Bernard
- Re: [obsdfr-misc] pf avec une seule interface réseau
  - From: Nicolas Bernard
- Re: [obsdfr-misc] pf avec une seule interface réseau
  - From: Larkine

Prev by Date: Re: [obsdfr-misc] pf avec une seule interface réseau
Next by Date: Re: [obsdfr-misc] pf avec une seule interface réseau
Previous by thread: Re: [obsdfr-misc] pf avec une seule interface réseau
Next by thread: Re: [obsdfr-misc] pf avec une seule interface réseau
Index(es):
- Date
- Thread