Reprise du message précédent :
Yep, OpenBSD comme firewall ça déchire. Ne serait-ce que pour le filtrage par OS ou la redondance (ifstated / carp / pfsync).

 
le noyau de mac os x est un micro kernel : mach et non celui de free bsd

 
rhala, mais il est basé sur celui de FreeBSD... ils vont pas laisser le meme evidemment, mais c'est ecrit sur le site, apres si il faut jouer avec les mots  

Bon faut démystifier un peu là... OpenBSD et NetBSD ont rien de bien sorcier. Faut juste lire les docs. Bon, ok, y'a que 10% des personnes qui lisent les docs, les autres ne l'ont pas lu et disent que c'est mal foutu ou trop difficile à installer.
 
Sinon, OpenBSD est ce qui se fait de mieux pour un firewall. NetBSD et FreeBSD sont juste derrière.
NetBSD a l'avantage de s'installer sur tout et n'importe quoi, tout en étant à jour. Debian est par exemple dispo sur des tas de plateformes, mais les versions dispos datent de la guerre 14-18.
FreeBSD est probablement le BSD le plus adapté pour un client x86.

pour couper cour à vos elucubrations (ca veut dire quoi ce mot d'ailleurs , ca sonne bien alors jele mets   ) :
 
Lisez le linux magazine special Kernel ; dedans y est detailé le noyau de MacOSx .
 
Selon l'aateur : c le noyau plus aboutis et moderne qui soit.

c clair
 
perso je l'ai installé sans la doc ....bon elle tournait bien mais j'ai pas pu surfer en etant derrier mauvaise config de pf ...
Mais c clair qu'elle est light et ca c top !
 
Par contre les paquetages (port on dit ?) de base sont certes la mais moi c qui ma pris le tronche c ce pb sous ssh de mauvaise emulation de terminal (mauvais reglage putty ou openbsd ..j'en sait rien)
 
Mais je vais surement retenté mais avec la doc FR que j'ai downloadé ca aidera.
De plus je m'en fous de connaitre pf j'ai Fwbuilder qui me permet de contruire graphiquement ce que je VEUX en terme de sécu et generer le script .conf.
 
Existe t-il un IDS sur openBSD ?
les install de soft sup, c dure ?

 
C'est dommage. Tu pourrai consacrer un minimum de temps dans la compréhension de pf, et ce d'autant plus que sa syntaxe est infiniment plus simple que celle d'iptables.
Dès lors, tu maîtriserai mieux le fonctionnement de ton firewall et tu pourrai en paramètrer très finement ses règles.

j'aimerai mes j'suis papa et chez moi j'ai pas le temps ...  
 
mais par contre il est evident que je veux connaitre les mecanismes interne dufiltraged epaquet de PF
 
tout comme je connait par coeur le netfilter avec ses hooks etc ... (mais ca ne fait pas de moi une personne qui connait la synthaxe iptables)
 
Fwbuilder est la pour gommer cette synthaxe (je verfie bien sure le script generer mais a achque fois il est cohérent)

Bonjour Conti
 
Je dois actuellement monter un firewal sous FreeBSD avec PF. Le pb c'est que les règles ne s'appliquent pas. en faisant un pfctl -f il me dit que /dev/pf n'existe pas. Et en effet lors de l'installation du ports de pf, et bien rien a été créé dans le /dev.
Qu'as tu mis par ailleurs dans ton rc.conf ?
pf="YES" ou pf_enable="YES" ?
 
Par défaut la doc de pf conseil de recompiler le noyau, mais en y regardant bien, il se trouve que les variables à insérer dans le noyau existe déjà :
 
"service Pf" y est déjà ainsi que "options PFIL_HOOKS". Seul Random_ÏP_ID est a rajouté.
 
As-tu recompilé ton noyau ?
 
Merci de ta réponse !

Je viens de tout réinstaller, et idem. Je n'ai pas de "pf" dans /dev

 
Je n'utilise pas FreeBSD, mais OpenBSD et NetBSD. A l'époque où j'avais installé OpenBSD, pf n'avait pas encore été porté sur FreeBSD et NetBSD. Seul ipf était disponible sur ces distributions. Je pense que le plus simple, si tu désires monter un firewall classique ou bien un bastion, est d'installer OpenBSD. Je ne sais pas si pf est présent par défaut sur FreeBSD, mais c'est assurément le cas sur OpenBSD. De plus, l'installation standard d'OpenBSD est déja largement sécurisée, réduisant ainsi considérablement la configuration "post-installation". C'est vraiment LA distribution idéale pour monter un firewall.
Sinon sur un firewall il est conseillé de ne pas sortir des "sentiers battus". Si l'on prend OpenBSD par exemple, mieux vaut utiliser le noyau par défaut. Les composants standards, le noyau et leur interactions ont été testés sous toutes les coutures. En restant dans cette configuration "standard" (noyaux, applications), on est assuré que les patchs ne vont pas nuire à la stabilité ou à la sécurité du système. De plus on peut alors réagir plus rapidement lorsqu'une faille est découverte, sans avoir à l'adapter à une éventuelle configuration spécifique.

euhhhhh
nickola, je me permet de te répondre : (manip sous openBSD)
dans rc.conf
pf=YES  
pf_rules=/etc/pf.conf           # Packet filter rules file
ensuite tu peux monter l'interface pflog0
sinon pour activer pf : pfctl -e -R -N -f /etc/pf.conf <= tu l'enable, charge les regles de nat et de filtrages
pour le disable : pfctl -F all  
Vala, sinon tout ceci est marqué dans les liens, que j'ai cité plus haut.

Kenshln : Ben apparemment çà dépend des version de pf. Dans le bouquin des éditions eyrolles cité plus haut, il dise bien pf=YES, mais dans les page de man ou les pkg-qlqchose on parle de rajouter dans le rc.conf :
pf_enable="YES"
pf_logd="YES"
pf_conf="/usr/local/etc/pf.conf"
 
Et puis je suis toujours bloqué avec mon /dev/pf qui n'existe pas du coup pfctl -f ne marche pas du coup le Firewall ne marche pas.
 
Le routage marche niquel mais çà c'est on ne peut plus ismple par contre la partie firewall marche pas du tout.

 
Il utilise FreeBSD. Le port est en alpha-release:
"This program is in EARLY ALPHA STAGE and even many tests were not performed at all. This may cause some serious damage to your system. Also this program is based on upcoming OpenBSD 3.3 pf. Much of tests passed on previous for pf 0.3 did not performed yet. Use with your own risk!"
La procédure d'installation sous FreeBSD est pourtant simple:
 
#su - (assume your kernel was rebuilt with "options pfil_hooks" and "options random_ip_id" )
#gzip -dc pf_freebsd_0.4.tar.gz|(cd /tmp; tar xf -)
#cd /tmp/pf_freebsd_0.4  
#make
#mkdir -p /tmp/pf_test
#cp /tmp/pf_freebsd_0.4/pf/pf.ko /tmp/pf_test/
#cp /tmp/pf_freebsd_0.4/pflog/pflog.ko /tmp/pf_test/
#cp /tmp/pf_freebsd_0.4/pfsync/pfsync.ko /tmp/pf_test/
#cp /tmp/pf_freebsd_0.4/pfctl/pfctl /tmp/pf_test/
#cp /tmp/pf_freebsd_0.4/pf.conf /tmp/pf_test/
#cp /tmp/pf_freebsd_0.4/pflogd/pflogd /tmp/pf_test/
#cp /tmp/pf_freebsd_0.4/tcpdump/tcpdump /tmp/pf_test/
#cd /tmp/pf_test
#kldload ./pflog.ko
#kldload ./pfsync.ko
#ifconfig pflog0 up
#ifconfig pfsync0 up
#./pflogd
#kldload ./pf.ko
#./pfctl -e -f ./pf.conf
 
Si c'est ce qui a été fait, alors demander carrément aux développeurs du port. Mais bon, faut pas oublier que c'est de l'alpha-release... D'où mon conseil d'installer OpenBSD plutôt...

Seulement la procédure d'install donnée ci-dessus est faite pour des tests. Une fois l'install ok et qu'elle fonctionne, comment faire pour l'installer sur le système de fichier courant, afin que pf.conf soit bien dans /etc ?
 
[Notes :]La version actuel de pf pour FreeBSD est la 2.03. Par défaut lorsqu'on install la collection de ports, c'estla version 2.00 qui est dans le dossier /usr/ports/security/pf.  
 
Sans vouloir insister, le /dev/pf est créé lors de l'install du ports où lus tard ?

 
Ce n'est plus un port, PF fait maintenant partie du système et est intégré de base dans le noyau de FreeBSD.
 
Mais c'est clair, autant utiliser l'original sous OpenBSD qui est évidemment le plus à jour et le plus mature.
 

ecoutez moi je vais essayer d'avancer sur openbsd , et je vous file mes tips.
A++

 
Oui, on attend les tips.    
Sinon, pour info, OpenBSD 3.5 devrait normalement sortir entre le 1er et le 19 mai. Encore quelques semaines à attendre!

puisqu'on a un sujet netbsd autant en profiter : est il possible d'installer netbsd sur une machine ne possedant ni lecteur CD ni carte reseau simplement par port serie ? (protocole PLIP il me semble)
 
thx

Par slip ou ppp, plip c'est pour le port parallele.
Pour NetBSD, je ne sais pas, mais pour Linux il y a un howto ici:
 
http://www.linux-france.org/articl [...] -Plip.html
 
Sinon, ca ne doit pas etre tres different, une fois la liaison plip ou ppp établie, ca fonctionne comme une installation par le réseau.

Rebonjour,
 
je rencontre un^petit problème dans la configuration du pf.conf, en ce qui concerne l'ip spoofing.
 
En effet la config de la passerelle est la suivante :
3 cartes réseaux
1 Lan en 192.168.10.1
1 DMZ en 192.168.50.1
1 vers Modem/routeur en 192.168.25.1
l'ip du routeur/Modem est 192.168.25.2
 
Puis-je protéger la passerelle des ip non-routable sachant que tous les paquets venant de l'extérieur vont lui être envoyés par le routeur "192.168.25.2" ?
 
-> Conti  pourrais-tu m'aider à optimiser mon filtre ?

 
Peux-tu préciser si ton modem/routeur fonctionne en mode bridge ou en mode normal?

mode normal.  Le routeur est un routeur netopia qui fait un filtrage de paquet de base. Il est relié à ma passerelle BSD.

 
Bien, si ton modem/routeur n'est pas en mode bridge, tu as encore besoin d'y accéder pour le configurer via http ou telnet. Dans ce cas, tu peux suivre la méthode que je te décris ici. Tout d'abord, il faut faire attention à la définition du mot-clé "antispoof" de pf. Si on l'applique à l'interface ep0 par exemple (antispoof for ep0 inet), il aura les effets suivants:
- bloquage des paquets entrants ayant une ip source appartenant au réseau associé à ep0
- bloquage des paquets entrants par ep0 et ayant pour source l'IP associée à ep0
Mais l'antispoof n'empêchera pas explicitement le passage sur ep0 de paquets ayant pour source des ip réservées, telles que définies par la RFC1918 (les ip non routables sur le WAN, dont tu parlais). Si tu désires créer une règle ayant les fonctionnalités conjuguées de /proc/sys/net/ipv4/conf/*/rp_filter et /proc/sys/net/ipv4/conf/*/log_martians sous GNU/Linux, il te faut faire ceci:
- créer une table de type "const" contenant les ip réservées de la RFC1918

- rajouter un scrub pour "nettoyer" les paquets

- Tu établis les règles par défaut:

- tu actives l'anti-spoof sur toutes les interfaces

- tu autorises le traffic local:

- tu permet l'accès http au modem (pour la configuration)

- tu droppe les paquets provenant du modem

- blocage des paquets a adresse locale entrant sur l'interface externe

- blocage des paquets a adresse locale sortant sur l'interface externe

 
Voilà. Ne modifie pas l'ordre des règles, ou tu vas transformer ton firewall en passoire.

Tu dis qu'il faut dropper les paquets qui viennent du modem, mais dans ce cas il n'y aura jamais de connexion possible de l'extérieur sur ma DMZ ?!
 
Si un pc de l'intérieur effectue une requête vers l'extérieur, c'est le paramètre keep state qui va permettre au retour de la requête de passer le firewall c'est çà ?
 
Ce qui m'échappe avec l'option antispoof, c'est que tu dis :
- bloquage des paquets entrants ayant une ip source appartenant au réseau associé à ep0  
Mais mon routeur à forcément une ip appartenant au même sous-réseaux que ma passerelle.
 
Le routeur à une ip publique, il route le traffic, vers un segment de réseau privé où se trouve l'interface interne du routeur et l'interface externe de ma passerelle. Les deux ont une ip privée. Et la passerelle renvoi par la suite les paquets soit à la DMZ soit au Lan.
 
J'ai configuré quelques règles, mais apparamment, les règles par défaut bloquent tout le reste, malgré le fait que j'ai permi le traffic icmp.
 
Enfin je te poste mes règles et si tu peux m'aider à les corriger ce serait sympa, car tu vas trouver que c'est un gros fouttoir.
 
#[Macros] Initialisation des variables  
Wan="em0"
DMZ="vr1"
Lan="vr0"
Ftpmail_srv="192.168.8.2"
Internal_net="192.168.15.0/24"
Secure_net="192.168.8.0/24"
localwan_net="192.168.1.0/24"
WanGateway="192.168.1.1"
 
#[Tables] similar to macros, but more flexible for many addresses.
table <rfc1918> const { 192.168.0.0/16, 172.16.0.0/12, 10.0.0.0/8 }
 
#[Options] tune the behavior of pf, default values are given.
set limit { states 30000, frags 5000 }
 
# [Normalisation] des paquets sur le pare-feu: controle et assemblage des paquets.
scrub in on $Wan all fragment reassemble
scrub out on $Wan all random-id fragment reassemble
 
#[Queueing]: rule-based bandwidth control.
 
#[Redirection]  
 
#[FILTERING]:
 
##[LoopBack interface]
pass quick on lo0 all
 
##[Regle par defaut] plus log
#block out log all
block in log all
 
##[ICMP] traitement du flux icmp pour la maintenance
 
###[WAN Port]
pass out on $Wan inet proto icmp from $Wan to any icmp-type 8 code 0 keep state
pass in on $Wan inet proto icmp from any to $Wan icmp-type 8 code 0 keep state (max 32)  
pass in on $Wan inet proto icmp from any to $Ftpmail_srv icmp-type 8 code 0 keep state (max 32)
pass in on $Wan inet proto icmp from $WanGateway to any icmp-type 8 code 0 keep state
pass out on $Wan inet proto icmp from $Secure_net to any icmp-type 8 code 0 keep state
pass out on $Wan inet proto icmp from $DMZ to any icmp-type 8 code 0 keep state  
pass out on $Wan inet proto icmp from $Lan to any icmp-type 8 code 0 keep state
pass out on $Wan inet proto icmp from $Internal_net to any icmp-type 8 code 0 keep state
 
###[DMZ Port]
pass out on $DMZ inet proto icmp from $DMZ to any icmp-type 8 code 0 keep state
pass out on $DMZ  inet proto icmp from $Secure_net to any icmp-type 8 code 0 keep state
pass in on $DMZ inet proto icmp from any to $DMZ icmp-type 8 code 0 keep state (max 32)
pass in on $DMZ inet proto icmp from any to $Ftpmail_srv icmp-type 8 code 0 keep state (max 32)
 
###[LAN Port]
pass out on $Lan inet proto icmp from $Lan to any icmp-type 8 code 0 keep state
pass out on $Lan inet proto icmp from $Internal_net to any icmp-type 8 code 0 keep state
pass in on $Lan inet proto icmp from any to $Lan icmp-type 8 code 0 keep state (max 32)
pass in on $Lan inet proto icmp from any to $Internal_net icmp-type 8 code 0 keep state
 
##[Wan Interface]
pass out quick on $Wan inet proto tcp from $Lan to any modulate state flags S/SA  
pass out quick on $Wan inet proto tcp from $Internal_net to any modulate state flags S/SA
pass out quick on $Wan inet proto tcp from $DMZ to any modulate state flags S/SA
pass out quick on $Wan inet proto tcp from $Secure_net to any modulate state flags S/SA
 
pass in on $Wan inet proto tcp from any to $Ftpmail_srv port { 26,115, 21, 20, 8090, 8091 } keep state
 
##[LAN interface]
pass out quick on $Lan from $Internal_net to any keep state
 
##[DMZ Interface]
pass out quick on $DMZ from $Secure_net to $Wan keep state
pass out quick on $DMZ from $Secure_net to $Lan  
pass in quick on $DMZ proto tcp from $Internal_net to $Ftpmail_srv port { 26, 8090, 8091, 21, 20 }  
pass in on $DMZ proto tcp from $Wan to $Ftpmail_srv port { 26, 8091, 8090, 21, 20 }  
 
En tout cas merci d'avance si tu peux y jeter un oeil
 

Non, si tu regardes la règle, tu verras qu'on drop les paquets provenant du modem uniquement ($ip_modem), et pas tout les paquets routés par la modem (les paquets en provenance du WAN)
 

Oui, keep state pour l'UDP et modulate state pour le TCP.
 

Oui, tu as raison, j'ai oublié de rajouter "et entrants par une interface différente d'ep0"
 

Je n'ai malheureusement pas le temps d'éplucher en détails les règles de ton firewall. Mais si tu as une question précise... Cependant, je pense que tu ferai bien de vérifier ces points:
- avec keep state et modulate state, tu n'as pas à écrire de règle pour le passage des paquets "retournés" pas le hosts distant
- par contre, il te faut permettre le passage des paquets initiant une connexion à la fois en entrée et en sortie de ton firewall
- évite autant que possible l'utilisation de any dans tes règles

Merci pour ta réponse.
En fait le pb c'est que les règles par défaut bloque les règles icmp. Donc je n'ai aucun ping qui passe bien que j'ai allègrement autorisé le flux icmp.
 
Si je comment les deux règles par défaut çà passe. Mais je vois pas bien ou j'ai fait l'erreur.

 
block out log all   # ligne à décommenter
Il te manque des "quick" dans tes règles pour le LAN. pf fonctionne différement d'iptables: il te faut relire la documentation. pf ne s'arrête pas à la première règle rencontrée pour laquelle le paquet examiné rempli les conditions. Dans ton cas, il continue jusqu'au "block ... all".

Il te manque aussi ça:

Bref, rebosse un peu dessus.    

Oui mais le block all est avant la portion [Filtering] donc d'après la doc, si mon paquet match les règles de la section filtering çà devrait aller.  
 
Autant pour moi pour la partie commenter de blot out log all. Je l'avais commenter pour vérifier que çà marchait bien en son absence.  
 
J'avais vu le principe du quick mais j'avais pas penser à en mettre plus.  
La dernière règle dont tu parles, que je dois ajouter normalement c'est la dernière de la seciotn [iCMP][WAN]. je fais mais tests à partir du réseau interne.
Je vais retester avec des Quick.
 
La différence aussi, c'est que moi je filtre chaqu'une des cartes réseaux alors que dans les docs (notamment du site benzedrine je crois) il crée une macro nommée unfiltered pour laquell il font un pass quick on unfiltered avant même les règles par défaut.

lisez absolument ca.
 
http://minithins.net/warehouse/openbsd.sgml
 
ps :visiblement ici il y'a les durs en sécu. et je peux vous dire que l'install du gars est carrément béton, un firewall en mode bridge ca pardonne pas ... c une blackbox et ca filtre a mort : imparable.