[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [obsdfr-misc] pf avec une seule interface réseau

Nicolas Bernard a écrit :
> Hello,
> 
>> Nous trouvons étranges que personne n'est rencontré ce problème avec des
>> règles de filtrage
>> strictes pour sa station de travail ou bien alors nous avons mal
>> cherché. Ce qui peut arriver.
> 
> La mode actuelle est plus "un firewall pour protéger tout un réseau",
> ajouté au fait que les gens utilisent généralement des règles
> strictes en entrée et laxistes en sortie... Je ne dis pas que c'est
> bien, je dis juste que c'est un fait.
> 
> Il faut tout de même noter qu'il y a des cas où le firewall apporte
> plus de problèmes qu'autre chose. Dans le cas du portupgrade de FreeBSD
> par exemple, comme il me semble qu'il tourne par défaut en root, s'il a
> envie de faire des choses étranges il peut le faire. Et même s'il y a
> une protection comme un securelevel qui empêche de changer les règles
> du firewall (je ne suis pas certain que les securelevel de FreeBSD
> permettent cela), portupgrade est bien placé pour modifier un programme
> qui fera ce qu'il a envie à la prochaine exécution...
> 
>> setenv ftp_proxy 127.0.0.1:8021 voir export ftp_proxy 127.0.0.1:8021
>> après une multitude de test et via un script en perl, nous avons
>> constaté que nous passions
>> bien par le proxy mais nous n'accèdons pas encore à internet.
>>
>>> Bien sûr, comme le proxy est sur la même machine, il faudra sans doute
>>> que tu utilises une règle pour autoriser les connexions sortantes vers
>>> le port 21 des machines distantes par l'utilisateur du proxy.
>> Nous sommes actuellement bloqués sur cette règle de filtrage pf.
>> Pourriez-vous nous indiquer
>> un petit exemple afin de nous diriger sur la bonne voie.
> 
> L'idée est d'utiliser des règles génériques qui permettent l'accès
> à n'importe quel serveur FTP, en les restreignant avec un 'user proxy'
> au bout pour que ces règles ne s'appliquent plus qu'au
> programme ftp-proxy (en supposant qu'il fonctionne en tant
> qu'utilisateur "proxy").
> 
> Par exemple pour sortir, une règle comme celle-ci pourrait marcher:
> pass out proto tcp to any port 21 user proxy keep state
> 
> Bon courage en tout cas!
> N.
> 
> 
> ---------------------------------------------------------------------
> To unsubscribe, e-mail: openbsd-france-misc-unsubscribe AT openbsd-france POINT org
> For additional commands, e-mail: openbsd-france-misc-help AT openbsd-france POINT org
> 
> 
Bonjour,

Je viens de découvrir un petit logiciel qui à première vue me sauve la vie.
Ce programme en question se nomme ftpsesame.

Mes règles dans le fichier pf.conf sont:

anchor "ftpsesame/*" on $int_if
pass in quick on $int_if proto tcp from ($int_if) to any port 21 keep state
pass out quick on $int_if proto tcp from ($int_if) to any port 21 keep state

J'accède correctement au ftp. Maintenant je cherche un petit descriptif de
ce logiciel. Pourriez-vous me donner de plus amples informations à ce
sujet ?

Merci à l'avance de votre aide.