[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [obsdfr-misc] Questions sur pf

From: "julien c" <newixz AT gmail POINT com>
To: misc AT openbsd-france POINT org
Subject: Re: [obsdfr-misc] Questions sur pf
Date: Thu, 29 May 2008 16:25:30 +0200

La conservation de l'etat des connections c'est du keep state
le modulate c'est pour les ISN.
sachant que le keep est automatique depuis 4.1
pass out on fxp0 proto { tcp, udp, icmp } from any to any modulate state

Reviens a
pass out on fxp0 proto { tcp, udp, icmp } from any to any modulate state ==>
ISN
pass out on fxp0 proto { tcp, udp, icmp } from any to any keep state ==>
etat

Perso j'utilise le scrubbing pour cela
scrub all reassemble tcp no-df
scrub out all random-id

Nice day

Le 29 mai 2008 15:31, <florent POINT gobilliard AT free.fr> a écrit :

> ok merci.
> J'avais vu pour keep state depuis la 4.1 ms il est dit aussi ds la doc
> d'OpenBSD
> (guide de l'utilisateur pf ->config basique -> filtrage des paquets) que
> modulate state s'applique depuis la 3.5 aux autres proto que tcp. Et
> l'exemple
> qu'ils donne est :
>
> Pour conserver l'état des connexions TCP, UDP et ICMP tout en renforçant la
> sécurité des ISN :
> pass out on fxp0 proto { tcp, udp, icmp } from any to any modulate state
>
>
> Selon julien c <newixz AT gmail POINT com>:
>
> > effectivement j'avais pas vu, dsl
> > "ca change rien syntaxiquement" ^^
> > L'antispoof pourquoi pas mais aucune utilité a mon sens.
> > le modulate state ne te sert a rien puisqu'il n'opère que sur TCP ( pas
> udp
> > et icmp..) et sert a rendre aleatoire l'incre des ISN
> > Par contre tu a keep state qui est automatique sur tcp, udp et icmp a
> partir
> > de 4.1
> >
> > +
> >
> > Le 29 mai 2008 13:43, <florent POINT gobilliard AT free.fr> a écrit :
> >
> > > non il y a un fw en amont.
> > > ma config est :  réseau interne ----> BSD (Comixwall) ---> FW ---->
> > > INTERNET
> > >
> > > j'ai du rater un truc car quand tu dit :
> > >
> > > <block in all
> > > pass in on $ext_if inet proto tcp (udp ?) from $adm_computer>
> > >
> > > Moi je comprend ca comme laisser passer en entré les connexion tcp sur
> > > $ext_if
> > > en provenance de $adm_computer. moi c'est en sorti que je veux les
> > > autoriser.
> > > donc ca ne serait pas plutot :
> > > block out all
> > > pass out on $ext_if inet proto tcp from $admin_user ?
> > > (sachant que j'autorise les proto tcp,udp et icmp en sortie avec un
> > > "modulate
> > > state")
> > >
> > >
> > >
> > > Selon julien c <newixz AT gmail POINT com>:
> > >
> > > > Hi,
> > > >
> > > > antispoof ou urp, pour ma part aucune, tu as ton ip public sur le bsd
> ?
> > > ou
> > > > ta encore un routeur en amont ?
> > > >
> > > > Tu as beaucoup plus simple
> > > > block in all
> > > > pass in on $ext_if inet proto tcp (udp ?) from $adm_computer
> > > >
> > > > tu peut etre plus ou moins restrictif aprés
> > > > tu peut set le block par default via les policy  (return un rst
> (clos) ou
> > > > drop)
> > > >
> > > > petit conseil pour les pc
> > > > ne les appelent pas avec une extension _if (il n'y a pas de
> nomenclature
> > > ^^)
> > > > mais cela correspond par
> > > > default aux interfaces.
> > > >
> > > > +
> > > > 2008/5/29 <florent POINT gobilliard AT free.fr>:
> > > >
> > > > >
> > > > >
> > > > > Bonjours a tous. Je suis débutant sur Openbsd et je suis entrain
> > > > > d'installer
> > > > > ComiWall.
> > > > > Ma premiere question concerne pf :
> > > > > Vaut-il mieux utiliser une régle d'antispoof ou d'urpf ? Et quelle
> est
> > > la
> > > > > difference profonde?
> > > > >
> > > > > La deuxieme :
> > > > > sur mon reseau interne il n'y a qu'une machine ( $admin_if )qui est
> > > > > autorisé a
> > > > > sortir sur le net. voici la regle que j'ai créé :
> > > > > block return on $int_if from { $int_net ! $admin_if } to any
> > > > >
> > > > > Faut il un espace entre " ! " et " $admin_if " ?
> > > > >
> > > > > De plus j'ai lu dans la doc des tables que cette regle pouvait etre
> > > > > interpreter
> > > > > par pf comme : block return on $int_if from $int_net to any
> > > > >               block return on $int_if from $admin_if to any
> > > > >
> > > > > est ce vrai et si oui quelle solution me conseilleriez vous?
> > > > > merci
> > > > >
> > > > > ________________________________
> > > > > French OpenBSD mailing list
> > > > > misc AT openbsd-france POINT org
> > > > > http://www.openbsd-france.org/ml
> > > > >
> > > > >
> > > >
> > >
> > >
> > >
> > > ________________________________
> > > French OpenBSD mailing list
> > > misc AT openbsd-france POINT org
> > > http://www.openbsd-france.org/ml
> > >
> > >
> >
>
>
>
> ________________________________
> French OpenBSD mailing list
> misc AT openbsd-france POINT org
> http://www.openbsd-france.org/ml
>
>

Follow-Ups:
- Re: [obsdfr-misc] Questions sur pf
  - From: julien c

References:
- Questions sur pf
  - From: florent . gobilliard
- Re: [obsdfr-misc] Questions sur pf
  - From: julien c
- Re: [obsdfr-misc] Questions sur pf
  - From: florent . gobilliard
- Re: [obsdfr-misc] Questions sur pf
  - From: julien c
- Re: [obsdfr-misc] Questions sur pf
  - From: florent . gobilliard

Prev by Date: Re: [obsdfr-misc] Questions sur pf
Next by Date: Re: [obsdfr-misc] Questions sur pf
Previous by thread: Re: [obsdfr-misc] Questions sur pf
Next by thread: Re: [obsdfr-misc] Questions sur pf
Index(es):
- Date
- Thread