[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [obsdfr-misc] Questions sur pf

From: "julien c" <newixz AT gmail POINT com>
To: misc AT openbsd-france POINT org
Subject: Re: [obsdfr-misc] Questions sur pf
Date: Thu, 29 May 2008 15:02:44 +0200

effectivement j'avais pas vu, dsl
"ca change rien syntaxiquement" ^^
L'antispoof pourquoi pas mais aucune utilité a mon sens.
le modulate state ne te sert a rien puisqu'il n'opère que sur TCP ( pas udp
et icmp..) et sert a rendre aleatoire l'incre des ISN
Par contre tu a keep state qui est automatique sur tcp, udp et icmp a partir
de 4.1

+

Le 29 mai 2008 13:43, <florent POINT gobilliard AT free.fr> a écrit :

> non il y a un fw en amont.
> ma config est :  réseau interne ----> BSD (Comixwall) ---> FW ---->
> INTERNET
>
> j'ai du rater un truc car quand tu dit :
>
> <block in all
> pass in on $ext_if inet proto tcp (udp ?) from $adm_computer>
>
> Moi je comprend ca comme laisser passer en entré les connexion tcp sur
> $ext_if
> en provenance de $adm_computer. moi c'est en sorti que je veux les
> autoriser.
> donc ca ne serait pas plutot :
> block out all
> pass out on $ext_if inet proto tcp from $admin_user ?
> (sachant que j'autorise les proto tcp,udp et icmp en sortie avec un
> "modulate
> state")
>
>
>
> Selon julien c <newixz AT gmail POINT com>:
>
> > Hi,
> >
> > antispoof ou urp, pour ma part aucune, tu as ton ip public sur le bsd ?
> ou
> > ta encore un routeur en amont ?
> >
> > Tu as beaucoup plus simple
> > block in all
> > pass in on $ext_if inet proto tcp (udp ?) from $adm_computer
> >
> > tu peut etre plus ou moins restrictif aprés
> > tu peut set le block par default via les policy  (return un rst (clos) ou
> > drop)
> >
> > petit conseil pour les pc
> > ne les appelent pas avec une extension _if (il n'y a pas de nomenclature
> ^^)
> > mais cela correspond par
> > default aux interfaces.
> >
> > +
> > 2008/5/29 <florent POINT gobilliard AT free.fr>:
> >
> > >
> > >
> > > Bonjours a tous. Je suis débutant sur Openbsd et je suis entrain
> > > d'installer
> > > ComiWall.
> > > Ma premiere question concerne pf :
> > > Vaut-il mieux utiliser une régle d'antispoof ou d'urpf ? Et quelle est
> la
> > > difference profonde?
> > >
> > > La deuxieme :
> > > sur mon reseau interne il n'y a qu'une machine ( $admin_if )qui est
> > > autorisé a
> > > sortir sur le net. voici la regle que j'ai créé :
> > > block return on $int_if from { $int_net ! $admin_if } to any
> > >
> > > Faut il un espace entre " ! " et " $admin_if " ?
> > >
> > > De plus j'ai lu dans la doc des tables que cette regle pouvait etre
> > > interpreter
> > > par pf comme : block return on $int_if from $int_net to any
> > >               block return on $int_if from $admin_if to any
> > >
> > > est ce vrai et si oui quelle solution me conseilleriez vous?
> > > merci
> > >
> > > ________________________________
> > > French OpenBSD mailing list
> > > misc AT openbsd-france POINT org
> > > http://www.openbsd-france.org/ml
> > >
> > >
> >
>
>
>
> ________________________________
> French OpenBSD mailing list
> misc AT openbsd-france POINT org
> http://www.openbsd-france.org/ml
>
>

Follow-Ups:
- Re: [obsdfr-misc] Questions sur pf
  - From: florent . gobilliard

References:
- Questions sur pf
  - From: florent . gobilliard
- Re: [obsdfr-misc] Questions sur pf
  - From: julien c
- Re: [obsdfr-misc] Questions sur pf
  - From: florent . gobilliard

Prev by Date: Re: [obsdfr-misc] Questions sur pf
Next by Date: Re: [obsdfr-misc] Questions sur pf
Previous by thread: Re: [obsdfr-misc] Questions sur pf
Next by thread: Re: [obsdfr-misc] Questions sur pf
Index(es):
- Date
- Thread