Re: [obsdfr-misc] Configuration de packet filter OpenBSD 4.2

["Olivier Regnier" <oregnier AT oregnier POINT info>]

Julien Cabillot a écrit :
> On mar, 2008-04-01 at 20:38 +0200, Olivier Regnier wrote:
>> Julien Cabillot a écrit :
>> > Loup�©,
>> > pour avoir la bonne r�©ponse il faut jeter un oeil �  /etc/rc :
>> > Au boot, si pf != NO, alors open charge des r�¨gles
>> g�©n�©riques, puis
>> > configure les interfaces (donc le dhcp) puis charge ensuite les
>> r�¨gles
>> > $pf_rules. VoilÃ?  donc la raison.
>> > Ca permet si j'ai bien compris les r�¨gles g�©n�©riques, d'avoir
>> un acc�¨s
>> > uniquement ssh (et port 53 ?) Ã?  la machine si jamais le chargement
>> de
>> > pf.conf loupe.
>> >
>> >
>> > On mar, 2008-04-01 at 13:03 +0200, St�©phane Chausson wrote:
>> >> Olivier Regnier a �©crit , Le 1/04/08 8:36:
>> >> > Bonjour,
>> >> >
>> >> > Je viens de commencer Ã?  configurer pf et j'ai eu une belle
>> suprise.
>> >> >
>> >> > Voici mon fichier pf.conf:
>> >> >
>> >> > # packet filter ruleset
>> >> >
>> >> > # macros
>> >> > int_if="sis0"
>> >> >
>> >> > # options
>> >> > set block-policy return
>> >> > set skip on lo
>> >> >
>> >> > # scrub
>> >> > scrub in all
>> >> >
>> >> > # default rules
>> >> > block all
>> >> >
>> >> > # antispoof
>> >> > antispoof for { $int_if }
>> >> > block in quick from no-route
>> >> > block out quick from no-route
>> >> >
>> >> > J'ai red�©marr�© une fois, donc pf est bien activ�© via
>> >> /etc/rc.conf.local :
>> >> > pf=YES
>> >> > pf_rules=/etc/pf.conf
>> >> >
>> >> > Th�©oriquement, pf bloque tout mais non, figurez-vous que ma
>> machine
>> >> arrive
>> >> > �  r�©cup�©rer son adresse IP en dhcp via mon routeur Netgear
>> ? Par
>> >> contre,
>> >> > si je ping le routeur, j'obtiens "no route to host".
>> >> >
>> >> > Je ne peux pas joindre le routeur, par contre, il peut m'adresser
>> mon
>> >> IP ?
>> >> > Pouvez-vous m'expliquer ce qui se passe ? Est-ce normal ?
>> >> >
>> >> > Merci d'avance.
>> >> >
>> >> >
>> >>
>> >> Ceci n'est qu'une supposition.
>> >> Les �©changes entre le client et le serveur DHCP se font par
>> l'adresse
>> >> de
>> >> broadcast (donc non routable par nature) et non par une adresse ip
>> >> d�©finie (routable).
>> >> L'attribut "no-route" doit faire que les messages DHCP ne sont pas
>> >> bloqu�©s par tes r�¨gles.
>> >> Si tu venais �  changer "no-route" par "any", peut-�ªtre que
>> m�ªme le
>> >> dialogue DHCP serait bloqu�©.
>> >>
>> >> 2 centimes d'ancien franc.
>> >>
>> >> ________________________________
>> >> French OpenBSD mailing list
>> >> misc AT openbsd-france POINT org
>> >> http://www.openbsd-france.org/ml
>> >>
>> >
>> >
>> > ________________________________
>> > French OpenBSD mailing list
>> > misc AT openbsd-france POINT org
>> > http://www.openbsd-france.org/ml
>> >
>> >
>> Cela veut dire que le fonctionnement est normal donc cette ligne:
>> pass out $logpass quick on $int_if proto tcp from ($int_if) to \
>> $wpnt834 port bootpc $tcpflags keep state
>>
>> ne sert plus à rien ?
>
> Heu j'ai plus les détails du dhcp en tete mais de toute façon à par si
> $wpnt834 est une ip de broadcast cette règle ne sert à rien. Par contre
> n'oublies pas que les baux dhcp ont une durée de vie et que au bout d'un
> moment il va falloir redemander une ip.
>
>
> ________________________________
> French OpenBSD mailing list
> misc AT openbsd-france POINT org
> http://www.openbsd-france.org/ml
>
>
$wpnt834 correspond à l'adresse IP de mon routeur.

-- 
Cordialement,
Olivier Regnier