[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [obsdfr-misc] Pf, bloque-t-il tout?

oO
Plus besoin du keep, automatique depuis 4.1
pf est un trés bon FW s'il est bien configurer
a partir du moment ou ton port est ouvert n'importe quels scanner determine
ssh et son p puisqu'un simple telnet suffit...
utilise également hping pour tester ton FW,
+
pour les logs
ifconfig pflog0 up && tcpdump -n (-nettt) -i pflog0
ou
tcpdump -n (-nettt) -r /var/log/pflog
++
/////////////////////////

ext_if = "fxp0"
int_if = "vr0"

localnet = $int_if:network
set skip on lo0
set block-policy drop

scrub all reassemble tcp no-df
scrub out all random-id

nat on $ext_if inet from $localnet to !($ext_if) -> ($ext_if)

block in log all
pass out all (??)

pass on $ext_if inet proto tcp from A.B.C.D
pass on $ext_if inet proto udp from A.B.C.D

/////////////////////////

2008/7/29 lechuit pierre <lechuit AT yahoo POINT com>

> Bonjour,
>
> une question me turlupine au sujet de PF.
> Soit une machine OBSD sur Internet qui n'autorise, depuis Internet, que la
> machine d'adresse IP A.B.C.D à se connecter dessus.
>
> Voici la conf
> # cat /etc/pf.conf
> ext_if = "fxp0"
> int_if = "vr0"
>
> localnet = $int_if:network
> scrub in all
> nat on $ext_if from $localnet to any -> ($ext_if)
>
> block in all
>
> #### NAT LAN -> INTERNET
> pass from { lo0, $localnet } to any keep state
>
>
> #### FROM MAISON
> pass in proto tcp from A.B.C.D to $ext_if  keep state
> pass in proto udp from A.B.C.D to $ext_if  keep state
>
> pass out all keep state
> #
>
> Comment, le logiciel Foundstone (scanner de vulnérabilités) a-t-il pu
> déceler que le daemon SSH utilisait la version 1 du protocol et que par
> conséquent il faut activer que la version 2 dans sshd.conf ?
>
> En fait je pensais que la machine droperait tout avec la ligne
> "block in all"
> sauf ce qui vient de A.B.C.D
>
> Y aurait il une subtilité dans le firewalling ?
>
> Il est à noter que c'est un prestataire exterieur qui utilise Foundstone et
> donc ce n'est pas utilisé depuis le LAN.
>
> Cordialement,
>
> Pedro
>
>
>
>
> ________________________________
> French OpenBSD mailing list
> misc AT openbsd-france POINT org
> http://www.openbsd-france.org/ml
>
>