[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [obsdfr-misc] Configuration de packet filter OpenBSD 4.2

From: Julien Cabillot <julien AT sdv POINT fr>
To: misc AT openbsd-france POINT org
Subject: Re: [obsdfr-misc] Configuration de packet filter OpenBSD 4.2
Date: Tue, 01 Apr 2008 19:06:41 +0200

Loupé,
pour avoir la bonne réponse il faut jeter un oeil à /etc/rc :
Au boot, si pf != NO, alors open charge des règles génériques, puis
configure les interfaces (donc le dhcp) puis charge ensuite les règles
$pf_rules. Voilà donc la raison.
Ca permet si j'ai bien compris les règles génériques, d'avoir un accès
uniquement ssh (et port 53 ?) à la machine si jamais le chargement de
pf.conf loupe.


On mar, 2008-04-01 at 13:03 +0200, Stéphane Chausson wrote:
> Olivier Regnier a écrit , Le 1/04/08 8:36:
> > Bonjour,
> > 
> > Je viens de commencer à configurer pf et j'ai eu une belle suprise.
> > 
> > Voici mon fichier pf.conf:
> > 
> > # packet filter ruleset
> > 
> > # macros
> > int_if="sis0"
> > 
> > # options
> > set block-policy return
> > set skip on lo
> > 
> > # scrub
> > scrub in all
> > 
> > # default rules
> > block all
> > 
> > # antispoof
> > antispoof for { $int_if }
> > block in quick from no-route
> > block out quick from no-route
> > 
> > J'ai redémarré une fois, donc pf est bien activé via /etc/rc.conf.local :
> > pf=YES
> > pf_rules=/etc/pf.conf
> > 
> > Théoriquement, pf bloque tout mais non, figurez-vous que ma machine arrive
> > à récupérer son adresse IP en dhcp via mon routeur Netgear ? Par contre,
> > si je ping le routeur, j'obtiens "no route to host".
> > 
> > Je ne peux pas joindre le routeur, par contre, il peut m'adresser mon IP ?
> > Pouvez-vous m'expliquer ce qui se passe ? Est-ce normal ?
> > 
> > Merci d'avance.
> > 
> > 
> 
> Ceci n'est qu'une supposition.
> Les échanges entre le client et le serveur DHCP se font par l'adresse de 
> broadcast (donc non routable par nature) et non par une adresse ip 
> définie (routable).
> L'attribut "no-route" doit faire que les messages DHCP ne sont pas 
> bloqués par tes règles.
> Si tu venais à changer "no-route" par "any", peut-être que même le 
> dialogue DHCP serait bloqué.
> 
> 2 centimes d'ancien franc.
> 
> ________________________________
> French OpenBSD mailing list
> misc AT openbsd-france POINT org
> http://www.openbsd-france.org/ml
>

Follow-Ups:
- Re: [obsdfr-misc] Configuration de packet filter OpenBSD 4.2
  - From: Olivier Regnier

References:
- Configuration de packet filter OpenBSD 4.2
  - From: Olivier Regnier
- Re: [obsdfr-misc] Configuration de packet filter OpenBSD 4.2
  - From: Stéphane Chausson

Prev by Date: Re: [obsdfr-misc] Probleme d'installation Gnome.
Next by Date: Re: [obsdfr-misc] Configuration de packet filter OpenBSD 4.2
Previous by thread: Re: [obsdfr-misc] Configuration de packet filter OpenBSD 4.2
Next by thread: Re: [obsdfr-misc] Configuration de packet filter OpenBSD 4.2
Index(es):
- Date
- Thread