[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [obsdfr-misc] Pf, bloque-t-il tout?

From: "julien c" <newixz AT gmail POINT com>
To: misc AT openbsd-france POINT org
Subject: Re: [obsdfr-misc] Pf, bloque-t-il tout?
Date: Tue, 29 Jul 2008 23:49:15 +0200

Il ne le determine plus maintenant,
les régles n'était pas correct c'est pour cela, je pense car
le port est soit closed / filtered /open
lors d'un envoie de paquet Syn :
 le FW répond Syn/Ack ==> open
                      Rst ==> fermer
                      rien ==> filtrer
il peut aussi droper, donc si le FW repondais lors du scan c'est que le port
n'etait pas filtrer
ou il a utiliser scapy ^^

++


Le 29 juillet 2008 23:10, Julien Cabillot<julien AT sdv POINT fr> a écrit :

> Salut,
> j'ai vite lu tes règles, là tout de suite je voit pas où est le malaise.
> Mais essaye le tcpdump donné plus bas, ça t'indiquera quelle est la
> derniere regle qui match.
>
> Le Tue, 29 Jul 2008 14:07:58 -0700 (PDT),
> lechuit pierre <lechuit AT yahoo POINT com> a écrit :
>
> > Julien,
> >
> > en fait j'oppose ces 2 assertions :
> > ta réponse
> >   "a partir du moment ou ton port est ouvert n'importe quels
> > scanner   determine ..." VERSUS
> > la règle
> >    "block in all"
> >
> > Pourquoi la trame du scanner va jusqu'au daemon si le firewall bloque
> > tout par défaut ?
> >
> > Pedro
> >
> > PS Merci pour la correction des règles
> >
> >
> > --- On Tue, 7/29/08, julien c <newixz AT gmail POINT com> wrote:
> >
> > > From: julien c <newixz AT gmail POINT com>
> > > Subject: Re: [obsdfr-misc] Pf, bloque-t-il tout?
> > > To: misc AT openbsd-france POINT org
> > > Date: Tuesday, July 29, 2008, 9:31 PM
> > > oO
> > > Plus besoin du keep, automatique depuis 4.1
> > > pf est un trés bon FW s'il est bien configurer
> > > a partir du moment ou ton port est ouvert n'importe
> > > quels scanner determine
> > > ssh et son p puisqu'un simple telnet suffit...
> > > utilise également hping pour tester ton FW,
> > > +
> > > pour les logs
> > > ifconfig pflog0 up && tcpdump -n (-nettt) -i pflog0
> > > ou
> > > tcpdump -n (-nettt) -r /var/log/pflog
> > > ++
> > > /////////////////////////
> > >
> > > ext_if = "fxp0"
> > > int_if = "vr0"
> > >
> > > localnet = $int_if:network
> > > set skip on lo0
> > > set block-policy drop
> > >
> > > scrub all reassemble tcp no-df
> > > scrub out all random-id
> > >
> > > nat on $ext_if inet from $localnet to !($ext_if) ->
> > > ($ext_if)
> > >
> > > block in log all
> > > pass out all (??)
> > >
> > > pass on $ext_if inet proto tcp from A.B.C.D
> > > pass on $ext_if inet proto udp from A.B.C.D
> > >
> > > /////////////////////////
> > >
> > > 2008/7/29 lechuit pierre <lechuit AT yahoo POINT com>
> > >
> > > > Bonjour,
> > > >
> > > > une question me turlupine au sujet de PF.
> > > > Soit une machine OBSD sur Internet qui n'autorise,
> > > depuis Internet, que la
> > > > machine d'adresse IP A.B.C.D à se connecter
> > > dessus.
> > > >
> > > > Voici la conf
> > > > # cat /etc/pf.conf
> > > > ext_if = "fxp0"
> > > > int_if = "vr0"
> > > >
> > > > localnet = $int_if:network
> > > > scrub in all
> > > > nat on $ext_if from $localnet to any -> ($ext_if)
> > > >
> > > > block in all
> > > >
> > > > #### NAT LAN -> INTERNET
> > > > pass from { lo0, $localnet } to any keep state
> > > >
> > > >
> > > > #### FROM MAISON
> > > > pass in proto tcp from A.B.C.D to $ext_if  keep state
> > > > pass in proto udp from A.B.C.D to $ext_if  keep state
> > > >
> > > > pass out all keep state
> > > > #
> > > >
> > > > Comment, le logiciel Foundstone (scanner de
> > > vulnérabilités) a-t-il pu
> > > > déceler que le daemon SSH utilisait la version 1 du
> > > protocol et que par
> > > > conséquent il faut activer que la version 2 dans
> > > sshd.conf ?
> > > >
> > > > En fait je pensais que la machine droperait tout avec
> > > la ligne
> > > > "block in all"
> > > > sauf ce qui vient de A.B.C.D
> > > >
> > > > Y aurait il une subtilité dans le firewalling ?
> > > >
> > > > Il est à noter que c'est un prestataire exterieur
> > > qui utilise Foundstone et
> > > > donc ce n'est pas utilisé depuis le LAN.
> > > >
> > > > Cordialement,
> > > >
> > > > Pedro
> > > >
> > > >
> > > >
> > > >
> > > > ________________________________
> > > > French OpenBSD mailing list
> > > > misc AT openbsd-france POINT org
> > > > http://www.openbsd-france.org/ml
> > > >
> > > >
> >
> >
> >
> >
> > ________________________________
> > French OpenBSD mailing list
> > misc AT openbsd-france POINT org
> > http://www.openbsd-france.org/ml
> >
>
> ________________________________
> French OpenBSD mailing list
> misc AT openbsd-france POINT org
> http://www.openbsd-france.org/ml
>
>

References:
- Re: [obsdfr-misc] Pf, bloque-t-il tout?
  - From: julien c
- Re: [obsdfr-misc] Pf, bloque-t-il tout?
  - From: lechuit pierre
- Re: [obsdfr-misc] Pf, bloque-t-il tout?
  - From: Julien Cabillot

Prev by Date: Re: [obsdfr-misc] Pf, bloque-t-il tout?
Next by Date: [opensdfr-misc] pb sur le package mediawiki
Previous by thread: Re: [obsdfr-misc] Pf, bloque-t-il tout?
Next by thread: [opensdfr-misc] pb sur le package mediawiki
Index(es):
- Date
- Thread