Re: [obsdfr-misc] Configuration de packet filter OpenBSD 4.2

[Stéphane Chausson <stephane POINT chausson AT laposte.net>]

Olivier Regnier a écrit , Le 1/04/08 8:36:
> Bonjour,
>
> Je viens de commencer à configurer pf et j'ai eu une belle suprise.
>
> Voici mon fichier pf.conf:
>
> # packet filter ruleset
>
> # macros
> int_if="sis0"
>
> # options
> set block-policy return
> set skip on lo
>
> # scrub
> scrub in all
>
> # default rules
> block all
>
> # antispoof
> antispoof for { $int_if }
> block in quick from no-route
> block out quick from no-route
>
> J'ai redémarré une fois, donc pf est bien activé via /etc/rc.conf.local :
> pf=YES
> pf_rules=/etc/pf.conf
>
> Théoriquement, pf bloque tout mais non, figurez-vous que ma machine arrive
> à récupérer son adresse IP en dhcp via mon routeur Netgear ? Par contre,
> si je ping le routeur, j'obtiens "no route to host".
>
> Je ne peux pas joindre le routeur, par contre, il peut m'adresser mon IP ?
> Pouvez-vous m'expliquer ce qui se passe ? Est-ce normal ?
>
> Merci d'avance.

Ceci n'est qu'une supposition.
Les échanges entre le client et le serveur DHCP se font par l'adresse de 
broadcast (donc non routable par nature) et non par une adresse ip 
définie (routable).
L'attribut "no-route" doit faire que les messages DHCP ne sont pas 
bloqués par tes règles.
Si tu venais à changer "no-route" par "any", peut-être que même le 
dialogue DHCP serait bloqué.

2 centimes d'ancien franc.