[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: [obsdfr-misc] Configuration de packet filter OpenBSD 4.2
On mar, 2008-04-01 at 20:38 +0200, Olivier Regnier wrote:
> Julien Cabillot a écrit :
> > Loupé,
> > pour avoir la bonne réponse il faut jeter un oeil à /etc/rc :
> > Au boot, si pf != NO, alors open charge des règles génériques, puis
> > configure les interfaces (donc le dhcp) puis charge ensuite les règles
> > $pf_rules. Voilà donc la raison.
> > Ca permet si j'ai bien compris les règles génériques, d'avoir un accès
> > uniquement ssh (et port 53 ?) Ã la machine si jamais le chargement de
> > pf.conf loupe.
> >
> >
> > On mar, 2008-04-01 at 13:03 +0200, Stéphane Chausson wrote:
> >> Olivier Regnier a écrit , Le 1/04/08 8:36:
> >> > Bonjour,
> >> >
> >> > Je viens de commencer à configurer pf et j'ai eu une belle suprise.
> >> >
> >> > Voici mon fichier pf.conf:
> >> >
> >> > # packet filter ruleset
> >> >
> >> > # macros
> >> > int_if="sis0"
> >> >
> >> > # options
> >> > set block-policy return
> >> > set skip on lo
> >> >
> >> > # scrub
> >> > scrub in all
> >> >
> >> > # default rules
> >> > block all
> >> >
> >> > # antispoof
> >> > antispoof for { $int_if }
> >> > block in quick from no-route
> >> > block out quick from no-route
> >> >
> >> > J'ai redémarré une fois, donc pf est bien activé via
> >> /etc/rc.conf.local :
> >> > pf=YES
> >> > pf_rules=/etc/pf.conf
> >> >
> >> > Théoriquement, pf bloque tout mais non, figurez-vous que ma machine
> >> arrive
> >> > à récupérer son adresse IP en dhcp via mon routeur Netgear ? Par
> >> contre,
> >> > si je ping le routeur, j'obtiens "no route to host".
> >> >
> >> > Je ne peux pas joindre le routeur, par contre, il peut m'adresser mon
> >> IP ?
> >> > Pouvez-vous m'expliquer ce qui se passe ? Est-ce normal ?
> >> >
> >> > Merci d'avance.
> >> >
> >> >
> >>
> >> Ceci n'est qu'une supposition.
> >> Les échanges entre le client et le serveur DHCP se font par l'adresse
> >> de
> >> broadcast (donc non routable par nature) et non par une adresse ip
> >> définie (routable).
> >> L'attribut "no-route" doit faire que les messages DHCP ne sont pas
> >> bloqués par tes règles.
> >> Si tu venais à changer "no-route" par "any", peut-être que même le
> >> dialogue DHCP serait bloqué.
> >>
> >> 2 centimes d'ancien franc.
> >>
> >> ________________________________
> >> French OpenBSD mailing list
> >> misc AT openbsd-france POINT org
> >> http://www.openbsd-france.org/ml
> >>
> >
> >
> > ________________________________
> > French OpenBSD mailing list
> > misc AT openbsd-france POINT org
> > http://www.openbsd-france.org/ml
> >
> >
> Cela veut dire que le fonctionnement est normal donc cette ligne:
> pass out $logpass quick on $int_if proto tcp from ($int_if) to \
> $wpnt834 port bootpc $tcpflags keep state
>
> ne sert plus à rien ?
Heu j'ai plus les détails du dhcp en tete mais de toute façon à par si
$wpnt834 est une ip de broadcast cette règle ne sert à rien. Par contre
n'oublies pas que les baux dhcp ont une durée de vie et que au bout d'un
moment il va falloir redemander une ip.