[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [obsdfr-misc] Pf, bloque-t-il tout?

Julien, 

en fait j'oppose ces 2 assertions : 
ta réponse
  "a partir du moment ou ton port est ouvert n'importe quels scanner   determine ..."
VERSUS
la règle 
   "block in all"

Pourquoi la trame du scanner va jusqu'au daemon si le firewall bloque tout par défaut ?

Pedro

PS Merci pour la correction des règles


--- On Tue, 7/29/08, julien c <newixz AT gmail POINT com> wrote:

> From: julien c <newixz AT gmail POINT com>
> Subject: Re: [obsdfr-misc] Pf, bloque-t-il tout?
> To: misc AT openbsd-france POINT org
> Date: Tuesday, July 29, 2008, 9:31 PM
> oO
> Plus besoin du keep, automatique depuis 4.1
> pf est un trés bon FW s'il est bien configurer
> a partir du moment ou ton port est ouvert n'importe
> quels scanner determine
> ssh et son p puisqu'un simple telnet suffit...
> utilise également hping pour tester ton FW,
> +
> pour les logs
> ifconfig pflog0 up && tcpdump -n (-nettt) -i pflog0
> ou
> tcpdump -n (-nettt) -r /var/log/pflog
> ++
> /////////////////////////
> 
> ext_if = "fxp0"
> int_if = "vr0"
> 
> localnet = $int_if:network
> set skip on lo0
> set block-policy drop
> 
> scrub all reassemble tcp no-df
> scrub out all random-id
> 
> nat on $ext_if inet from $localnet to !($ext_if) ->
> ($ext_if)
> 
> block in log all
> pass out all (??)
> 
> pass on $ext_if inet proto tcp from A.B.C.D
> pass on $ext_if inet proto udp from A.B.C.D
> 
> /////////////////////////
> 
> 2008/7/29 lechuit pierre <lechuit AT yahoo POINT com>
> 
> > Bonjour,
> >
> > une question me turlupine au sujet de PF.
> > Soit une machine OBSD sur Internet qui n'autorise,
> depuis Internet, que la
> > machine d'adresse IP A.B.C.D à se connecter
> dessus.
> >
> > Voici la conf
> > # cat /etc/pf.conf
> > ext_if = "fxp0"
> > int_if = "vr0"
> >
> > localnet = $int_if:network
> > scrub in all
> > nat on $ext_if from $localnet to any -> ($ext_if)
> >
> > block in all
> >
> > #### NAT LAN -> INTERNET
> > pass from { lo0, $localnet } to any keep state
> >
> >
> > #### FROM MAISON
> > pass in proto tcp from A.B.C.D to $ext_if  keep state
> > pass in proto udp from A.B.C.D to $ext_if  keep state
> >
> > pass out all keep state
> > #
> >
> > Comment, le logiciel Foundstone (scanner de
> vulnérabilités) a-t-il pu
> > déceler que le daemon SSH utilisait la version 1 du
> protocol et que par
> > conséquent il faut activer que la version 2 dans
> sshd.conf ?
> >
> > En fait je pensais que la machine droperait tout avec
> la ligne
> > "block in all"
> > sauf ce qui vient de A.B.C.D
> >
> > Y aurait il une subtilité dans le firewalling ?
> >
> > Il est à noter que c'est un prestataire exterieur
> qui utilise Foundstone et
> > donc ce n'est pas utilisé depuis le LAN.
> >
> > Cordialement,
> >
> > Pedro
> >
> >
> >
> >
> > ________________________________
> > French OpenBSD mailing list
> > misc AT openbsd-france POINT org
> > http://www.openbsd-france.org/ml
> >
> >