[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [obsdfr-misc] Questions sur pf

From: florent POINT gobilliard AT free.fr
To: misc AT openbsd-france POINT org
Subject: Re: [obsdfr-misc] Questions sur pf
Date: Thu, 29 May 2008 13:43:03 +0200

non il y a un fw en amont.
ma config est :  réseau interne ----> BSD (Comixwall) ---> FW ----> INTERNET

j'ai du rater un truc car quand tu dit :

<block in all
pass in on $ext_if inet proto tcp (udp ?) from $adm_computer>

Moi je comprend ca comme laisser passer en entré les connexion tcp sur $ext_if
en provenance de $adm_computer. moi c'est en sorti que je veux les autoriser.
donc ca ne serait pas plutot :
block out all
pass out on $ext_if inet proto tcp from $admin_user ?
(sachant que j'autorise les proto tcp,udp et icmp en sortie avec un "modulate
state")



Selon julien c <newixz AT gmail POINT com>:

> Hi,
>
> antispoof ou urp, pour ma part aucune, tu as ton ip public sur le bsd ? ou
> ta encore un routeur en amont ?
>
> Tu as beaucoup plus simple
> block in all
> pass in on $ext_if inet proto tcp (udp ?) from $adm_computer
>
> tu peut etre plus ou moins restrictif aprés
> tu peut set le block par default via les policy  (return un rst (clos) ou
> drop)
>
> petit conseil pour les pc
> ne les appelent pas avec une extension _if (il n'y a pas de nomenclature ^^)
> mais cela correspond par
> default aux interfaces.
>
> +
> 2008/5/29 <florent POINT gobilliard AT free.fr>:
>
> >
> >
> > Bonjours a tous. Je suis débutant sur Openbsd et je suis entrain
> > d'installer
> > ComiWall.
> > Ma premiere question concerne pf :
> > Vaut-il mieux utiliser une régle d'antispoof ou d'urpf ? Et quelle est la
> > difference profonde?
> >
> > La deuxieme :
> > sur mon reseau interne il n'y a qu'une machine ( $admin_if )qui est
> > autorisé a
> > sortir sur le net. voici la regle que j'ai créé :
> > block return on $int_if from { $int_net ! $admin_if } to any
> >
> > Faut il un espace entre " ! " et " $admin_if " ?
> >
> > De plus j'ai lu dans la doc des tables que cette regle pouvait etre
> > interpreter
> > par pf comme : block return on $int_if from $int_net to any
> >               block return on $int_if from $admin_if to any
> >
> > est ce vrai et si oui quelle solution me conseilleriez vous?
> > merci
> >
> > ________________________________
> > French OpenBSD mailing list
> > misc AT openbsd-france POINT org
> > http://www.openbsd-france.org/ml
> >
> >
>

Follow-Ups:
- Re: [obsdfr-misc] Questions sur pf
  - From: julien c

References:
- Questions sur pf
  - From: florent . gobilliard
- Re: [obsdfr-misc] Questions sur pf
  - From: julien c

Prev by Date: Re: [obsdfr-misc] Questions sur pf
Next by Date: Re: [obsdfr-misc] Questions sur pf
Previous by thread: Re: [obsdfr-misc] Questions sur pf
Next by thread: Re: [obsdfr-misc] Questions sur pf
Index(es):
- Date
- Thread