[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [obsdfr-misc] firewall home 5.1

Le Thu, 10 May 2012 19:30:52 +0200,
ostrasker <ostrasker AT gmail POINT com> a écrit :

> 1) Je suis les instructions du tuto
> 
> 2) Non, j'en suis pas encore là. Je fais les choses 1 par 1
> 
> 3) Pardon, mais comment vous faites vous ?. Qui nous montre ces
> talents à la liste ?.
> 
> Le 10 mai 2012 19:23, Eric Jacquot <ejacquot AT delfic POINT org> a écrit :
> 

Je suis bon joueur : je test un dernier coup :

1) prouves le ?

2) T'es sûr que ce n'est pas ça le problème ? En fait on ne sait même
pas ton problème réellement car on a que des supposition de réponse.

3) Il est vieux et pas forcement des plus beau mais il marche
parfaitement le miens et en 51 (comme la boisson des héros !).

# macros
ext_if="rl0"
lan_if="rl1"
wlan_if="ral0"

tcp_services = "{ 22, 25, 53, 110, 143, 443 }"
icmp_types = "echoreq"

# options
set block-policy return
set loginterface $ext_if

set skip on lo

table <ssh-bruteforce> persist

# scrub
match in all

# nat/rdr
match out on $ext_if from !($ext_if) nat-to ($ext_if)

#rdr-anchor "authpf/*"
# anchor "authpf/*"

# regles de filtrage
block in log

pass out keep state

antispoof quick for { lo, $lan_if, wlan_if }

block in log quick from <ssh-bruteforce>

pass in on tun0 inet

pass in on $ext_if inet proto tcp from any to ($ext_if) port
$tcp_services flags S/SA keep state

pass in on $ext_if inet proto tcp from any to ($ext_if) port 80
synproxy state

pass in quick on $ext_if proto tcp from any to any port { 5223, 3478,
3479, 3658 } rdr-to 192.168.14.117

pass in quick on $ext_if inet proto tcp from any to any port ssh flags
S/SA keep state ( max-src-conn-rate 4/120, overload <ssh-bruteforce>
flush global)

pass in on $ext_if inet proto udp from any to ($ext_if) port 53 keep
state

#pass in on $wlan_if inet proto tcp from any to $wlan_if port { 22,
53 } flags S/SA keep state #pass in on $wlan_if inet proto udp from any
to $wlan_if port 53 keep state

pass in on { $ext_if, $lan_if, $wlan_if } inet proto icmp all icmp-type
$icmp_types keep state #pass in on $wlan_if inet proto icmp from any to
192.168.15.1 icmp-type $icmp_types keep state

pass in quick on $ext_if inet proto tcp from any to any port 16962
rdr-to 192.168.14.117 port 16962

pass in quick on $ext_if inet proto udp from any to any port 16962
rdr-to 192.168.14.117 port 16962

pass in quick on $ext_if inet proto tcp from any to any port 9103
rdr-to 192.168.14.117 port 9103 pass in quick on $ext_if inet proto udp
from any to any port 9103 rdr-to 192.168.14.117 port 9103


pass in quick on $ext_if inet proto tcp from any to any port 443 rdr-to
127.0.0.1 port 22

pass quick inet6

pass in quick on $lan_if
pass in quick on $wlan_if

#anchor "authpf/*"


Alors maintenant que je t'ai montré mon intimité : tu me montre la
tienne un peu ?

ps : il y a fort fort fort longtemps j'ai commencé par lire la FAQ
comme tout bon crétin qui se respecte (on était en 3.8 déjà) et j'ai
forgé mes premières règles. Depuis j'ai agressé le canal IRC et lu le
saint livre de PF qui m'ont permis de comprendre qu'en fait j'avais pas
grand chose à foutre des règles avancés qu'on peut ajouter dans pf.
Mais franchement une syntaxe aussi simple : je remercie tout les jours
les développeurs OpenBSD et je traite de foutriquet les développeurs
d'iptables qui m'ont mis l'anus en choux fleur plus d'une fois avec
leurs règles imbitable !

-- 
--

Philippe BEAUMONT