[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: [obsdfr-misc] Questions sur pf
ok merci.
J'avais vu pour keep state depuis la 4.1 ms il est dit aussi ds la doc d'OpenBSD
(guide de l'utilisateur pf ->config basique -> filtrage des paquets) que
modulate state s'applique depuis la 3.5 aux autres proto que tcp. Et l'exemple
qu'ils donne est :
Pour conserver l'état des connexions TCP, UDP et ICMP tout en renforçant la
sécurité des ISN :
pass out on fxp0 proto { tcp, udp, icmp } from any to any modulate state
Selon julien c <newixz AT gmail POINT com>:
> effectivement j'avais pas vu, dsl
> "ca change rien syntaxiquement" ^^
> L'antispoof pourquoi pas mais aucune utilité a mon sens.
> le modulate state ne te sert a rien puisqu'il n'opère que sur TCP ( pas udp
> et icmp..) et sert a rendre aleatoire l'incre des ISN
> Par contre tu a keep state qui est automatique sur tcp, udp et icmp a partir
> de 4.1
>
> +
>
> Le 29 mai 2008 13:43, <florent POINT gobilliard AT free.fr> a écrit :
>
> > non il y a un fw en amont.
> > ma config est : réseau interne ----> BSD (Comixwall) ---> FW ---->
> > INTERNET
> >
> > j'ai du rater un truc car quand tu dit :
> >
> > <block in all
> > pass in on $ext_if inet proto tcp (udp ?) from $adm_computer>
> >
> > Moi je comprend ca comme laisser passer en entré les connexion tcp sur
> > $ext_if
> > en provenance de $adm_computer. moi c'est en sorti que je veux les
> > autoriser.
> > donc ca ne serait pas plutot :
> > block out all
> > pass out on $ext_if inet proto tcp from $admin_user ?
> > (sachant que j'autorise les proto tcp,udp et icmp en sortie avec un
> > "modulate
> > state")
> >
> >
> >
> > Selon julien c <newixz AT gmail POINT com>:
> >
> > > Hi,
> > >
> > > antispoof ou urp, pour ma part aucune, tu as ton ip public sur le bsd ?
> > ou
> > > ta encore un routeur en amont ?
> > >
> > > Tu as beaucoup plus simple
> > > block in all
> > > pass in on $ext_if inet proto tcp (udp ?) from $adm_computer
> > >
> > > tu peut etre plus ou moins restrictif aprés
> > > tu peut set le block par default via les policy (return un rst (clos) ou
> > > drop)
> > >
> > > petit conseil pour les pc
> > > ne les appelent pas avec une extension _if (il n'y a pas de nomenclature
> > ^^)
> > > mais cela correspond par
> > > default aux interfaces.
> > >
> > > +
> > > 2008/5/29 <florent POINT gobilliard AT free.fr>:
> > >
> > > >
> > > >
> > > > Bonjours a tous. Je suis débutant sur Openbsd et je suis entrain
> > > > d'installer
> > > > ComiWall.
> > > > Ma premiere question concerne pf :
> > > > Vaut-il mieux utiliser une régle d'antispoof ou d'urpf ? Et quelle est
> > la
> > > > difference profonde?
> > > >
> > > > La deuxieme :
> > > > sur mon reseau interne il n'y a qu'une machine ( $admin_if )qui est
> > > > autorisé a
> > > > sortir sur le net. voici la regle que j'ai créé :
> > > > block return on $int_if from { $int_net ! $admin_if } to any
> > > >
> > > > Faut il un espace entre " ! " et " $admin_if " ?
> > > >
> > > > De plus j'ai lu dans la doc des tables que cette regle pouvait etre
> > > > interpreter
> > > > par pf comme : block return on $int_if from $int_net to any
> > > > block return on $int_if from $admin_if to any
> > > >
> > > > est ce vrai et si oui quelle solution me conseilleriez vous?
> > > > merci
> > > >
> > > > ________________________________
> > > > French OpenBSD mailing list
> > > > misc AT openbsd-france POINT org
> > > > http://www.openbsd-france.org/ml
> > > >
> > > >
> > >
> >
> >
> >
> > ________________________________
> > French OpenBSD mailing list
> > misc AT openbsd-france POINT org
> > http://www.openbsd-france.org/ml
> >
> >
>