[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [obsdfr-misc] Configuration de packet filter OpenBSD 4.2

From: "Olivier Regnier" <oregnier AT oregnier POINT info>
To: misc AT openbsd-france POINT org
Subject: Re: [obsdfr-misc] Configuration de packet filter OpenBSD 4.2
Date: Tue, 1 Apr 2008 20:38:32 +0200 (CEST)

Julien Cabillot a écrit :
> LoupÃ©,
> pour avoir la bonne rÃ©ponse il faut jeter un oeil Ã  /etc/rc :
> Au boot, si pf != NO, alors open charge des rÃ¨gles gÃ©nÃ©riques, puis
> configure les interfaces (donc le dhcp) puis charge ensuite les rÃ¨gles
> $pf_rules. VoilÃ  donc la raison.
> Ca permet si j'ai bien compris les rÃ¨gles gÃ©nÃ©riques, d'avoir un accÃ¨s
> uniquement ssh (et port 53 ?) Ã  la machine si jamais le chargement de
> pf.conf loupe.
>
>
> On mar, 2008-04-01 at 13:03 +0200, StÃ©phane Chausson wrote:
>> Olivier Regnier a Ã©crit , Le 1/04/08 8:36:
>> > Bonjour,
>> >
>> > Je viens de commencer Ã  configurer pf et j'ai eu une belle suprise.
>> >
>> > Voici mon fichier pf.conf:
>> >
>> > # packet filter ruleset
>> >
>> > # macros
>> > int_if="sis0"
>> >
>> > # options
>> > set block-policy return
>> > set skip on lo
>> >
>> > # scrub
>> > scrub in all
>> >
>> > # default rules
>> > block all
>> >
>> > # antispoof
>> > antispoof for { $int_if }
>> > block in quick from no-route
>> > block out quick from no-route
>> >
>> > J'ai redÃ©marrÃ© une fois, donc pf est bien activÃ© via
>> /etc/rc.conf.local :
>> > pf=YES
>> > pf_rules=/etc/pf.conf
>> >
>> > ThÃ©oriquement, pf bloque tout mais non, figurez-vous que ma machine
>> arrive
>> > Ã  rÃ©cupÃ©rer son adresse IP en dhcp via mon routeur Netgear ? Par
>> contre,
>> > si je ping le routeur, j'obtiens "no route to host".
>> >
>> > Je ne peux pas joindre le routeur, par contre, il peut m'adresser mon
>> IP ?
>> > Pouvez-vous m'expliquer ce qui se passe ? Est-ce normal ?
>> >
>> > Merci d'avance.
>> >
>> >
>>
>> Ceci n'est qu'une supposition.
>> Les Ã©changes entre le client et le serveur DHCP se font par l'adresse
>> de
>> broadcast (donc non routable par nature) et non par une adresse ip
>> dÃ©finie (routable).
>> L'attribut "no-route" doit faire que les messages DHCP ne sont pas
>> bloquÃ©s par tes rÃ¨gles.
>> Si tu venais Ã  changer "no-route" par "any", peut-Ãªtre que mÃªme le
>> dialogue DHCP serait bloquÃ©.
>>
>> 2 centimes d'ancien franc.
>>
>> ________________________________
>> French OpenBSD mailing list
>> misc AT openbsd-france POINT org
>> http://www.openbsd-france.org/ml
>>
>
>
> ________________________________
> French OpenBSD mailing list
> misc AT openbsd-france POINT org
> http://www.openbsd-france.org/ml
>
>
Cela veut dire que le fonctionnement est normal donc cette ligne:
pass out $logpass quick on $int_if proto tcp from ($int_if) to \
$wpnt834 port bootpc $tcpflags keep state

ne sert plus à rien ?
-- 
Cordialement,
Olivier Regnier

Follow-Ups:
- Re: [obsdfr-misc] Configuration de packet filter OpenBSD 4.2
  - From: Julien Cabillot

References:
- Configuration de packet filter OpenBSD 4.2
  - From: Olivier Regnier
- Re: [obsdfr-misc] Configuration de packet filter OpenBSD 4.2
  - From: Stéphane Chausson
- Re: [obsdfr-misc] Configuration de packet filter OpenBSD 4.2
  - From: Julien Cabillot

Prev by Date: Re: [obsdfr-misc] Configuration de packet filter OpenBSD 4.2
Next by Date: Re: [obsdfr-misc] Configuration de packet filter OpenBSD 4.2
Previous by thread: Re: [obsdfr-misc] Configuration de packet filter OpenBSD 4.2
Next by thread: Re: [obsdfr-misc] Configuration de packet filter OpenBSD 4.2
Index(es):
- Date
- Thread