[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Pf, bloque-t-il tout?

From: lechuit pierre <lechuit AT yahoo POINT com>
To: misc AT openbsd-france POINT org
Subject: Pf, bloque-t-il tout?
Date: Tue, 29 Jul 2008 12:10:27 -0700 (PDT)

Bonjour, 

une question me turlupine au sujet de PF.
Soit une machine OBSD sur Internet qui n'autorise, depuis Internet, que la machine d'adresse IP A.B.C.D à se connecter dessus.

Voici la conf 
# cat /etc/pf.conf
ext_if = "fxp0"
int_if = "vr0"

localnet = $int_if:network
scrub in all
nat on $ext_if from $localnet to any -> ($ext_if)

block in all

#### NAT LAN -> INTERNET
pass from { lo0, $localnet } to any keep state


#### FROM MAISON
pass in proto tcp from A.B.C.D to $ext_if  keep state
pass in proto udp from A.B.C.D to $ext_if  keep state

pass out all keep state
#

Comment, le logiciel Foundstone (scanner de vulnérabilités) a-t-il pu déceler que le daemon SSH utilisait la version 1 du protocol et que par conséquent il faut activer que la version 2 dans sshd.conf ?

En fait je pensais que la machine droperait tout avec la ligne 
"block in all"
sauf ce qui vient de A.B.C.D

Y aurait il une subtilité dans le firewalling ?

Il est à noter que c'est un prestataire exterieur qui utilise Foundstone et donc ce n'est pas utilisé depuis le LAN.

Cordialement, 

Pedro

Follow-Ups:
- [opensdfr-misc] pb sur le package mediawiki
  - From: Nicolas Caillaud
- Re: [obsdfr-misc] Pf, bloque-t-il tout?
  - From: julien c

References:
- Monitoring
  - From: julien c

Prev by Date: Re: [obsdfr-misc] xorg.conf - Problème de résolution avec driver ATI
Next by Date: Re: [obsdfr-misc] Pf, bloque-t-il tout?
Previous by thread: Re: [obsdfr-misc] Monitoring
Next by thread: Re: [obsdfr-misc] Pf, bloque-t-il tout?
Index(es):
- Date
- Thread