[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Etre sûr de son pf.conf

From: "Chardhoo Chardhoo" <patriotefr AT gmail POINT com>
To: misc AT openbsd-france POINT org
Subject: Etre sûr de son pf.conf
Date: Wed, 18 Jul 2007 16:08:09 +0200

Bonjour à la communauté !

Je suis depuis 2 jours en train de me documenter pour réaliser mon fichier
pf.conf par rapport à d'autres et ainsi garantir la protection de mon
serveur et du réseau.
Je souhaiterais avoir l'avis de personne s'y connaissant sur le sujet car je
ne veut surtout pas avoir de doute concernant cette partie là ! c'est trop
important..
alors je met mon fichier pf.conf qui fonctionne chez moi à votre disposition
pour que vous l'analisiez et recherché s'il y a des bétises et je vous
dresse un topo de mon reseau et de mes ambitions pour que vous y mettiez une
touche de sécurité en plus si possible est.. :

Machines clientes = 192.168.1.0/24
Serveur = Lan:dc0:192.168.1.1 & egress:192.168.0.2 /SSH/ accessible de
l'interieur uniquement
Routeur en DMZ = 192.168.0.1

il y a 5 ordinateurs qui vont l'avoir comme passerelle,
192.168.1.2 va faire office de serveur

#####MACROS#####
int_if="dc0"
ports_ouverts_pour_lequipe="{ http https ftp smtp }"

########### options ###############
   set block-policy return
# en cas de "block", quand on refuse un paquet, on envoie
# - un TCP RST pour les paquets TCP bloqués
# - un ICMP UNREACHABLE pour les paquet UDP bloqués


#####TABLES#####
   table <ip_de_lequipe> { 192.168.1.2, 192.168.1.3, 192.168.1.4,
192.168.1.5, 192.168.1.6 }
   table <ip_de_serveur_2> { 192.168.1.2 }

#####SCRUB#####
#Normalise tout les packets:
   scrub in all

#####NAT/RDR#####
#On active le nat pour le réseau local:
   nat pass on egress -> (egress)

   rdr on egress proto tcp from any to any port 4562 -> <ip_de_serveur_2>
   rdr on egress proto udp from any to any port 4572 -> <ip_de_serveur_2>

#####FILTRAGE#####
   block in

# Activation de la protection contre l'usurpation sur toutes les interfaces:
   block in quick from urpf-failed

   pass out
   pass in on egress proto tcp from <ip_de_lequipe> to port
$ports_ouverts_pour_lequipe flags S/SFRA
   pass in on egress proto tcp from <ip_de_serveur_2> to port 4562
   pass in on egress proto udp from <ip_de_serveur_2> to port 4572

# Les connexions ssh ne sont autorisées qu'en provenance du réseau local
# et de la machine 192.168.1.4. "block return" provoque l'émission d'un
# paquet TCP RST pour mettre fin aux connexions illicites. "quick"
# assure que cette règle n'est pas contredite par les règles "pass".

   block return in quick on $int_if proto tcp from ! 192.168.0.2 \
   to $int_if port ssh


Merci de votre aide

Follow-Ups:
- Re: [obsdfr-misc] Etre sûr de son pf.conf
  - From: jean-philippe luiggi

Prev by Date: Re: [obsdfr-misc] apache2 + PHP
Next by Date: Problème de ressources
Previous by thread: Release vers Stable
Next by thread: Re: [obsdfr-misc] Etre sûr de son pf.conf
Index(es):
- Date
- Thread