 |
||
| ||
| |||||
| Dernière réponse | |
|---|---|
| Sujet : NetBSD: qui connais un peu? | |
| fioul666 | lisez absolument ca.
http://minithins.net/warehouse/openbsd.sgml ps :visiblement ici il y'a les durs en sécu. et je peux vous dire que l'install du gars est carrément béton, un firewall en mode bridge ca pardonne pas ... c une blackbox et ca filtre a mort : imparable. |
| Aperçu |
|---|
| Vue Rapide de la discussion |
|---|
| fioul666 | lisez absolument ca.
http://minithins.net/warehouse/openbsd.sgml ps :visiblement ici il y'a les durs en sécu. et je peux vous dire que l'install du gars est carrément béton, un firewall en mode bridge ca pardonne pas ... c une blackbox et ca filtre a mort : imparable. |
| nickola | Oui mais le block all est avant la portion [Filtering] donc d'après la doc, si mon paquet match les règles de la section filtering çà devrait aller. Autant pour moi pour la partie commenter de blot out log all. Je l'avais commenter pour vérifier que çà marchait bien en son absence. J'avais vu le principe du quick mais j'avais pas penser à en mettre plus. La dernière règle dont tu parles, que je dois ajouter normalement c'est la dernière de la seciotn [iCMP][WAN]. je fais mais tests à partir du réseau interne. Je vais retester avec des Quick. La différence aussi, c'est que moi je filtre chaqu'une des cartes réseaux alors que dans les docs (notamment du site benzedrine je crois) il crée une macro nommée unfiltered pour laquell il font un pass quick on unfiltered avant même les règles par défaut. |
| conti | Il te manque aussi ça:
|
| conti |
|
| nickola | Merci pour ta réponse.
En fait le pb c'est que les règles par défaut bloque les règles icmp. Donc je n'ai aucun ping qui passe bien que j'ai allègrement autorisé le flux icmp. Si je comment les deux règles par défaut çà passe. Mais je vois pas bien ou j'ai fait l'erreur. |
| conti |
|
| nickola | Tu dis qu'il faut dropper les paquets qui viennent du modem, mais dans ce cas il n'y aura jamais de connexion possible de l'extérieur sur ma DMZ ?!
Si un pc de l'intérieur effectue une requête vers l'extérieur, c'est le paramètre keep state qui va permettre au retour de la requête de passer le firewall c'est çà ? Ce qui m'échappe avec l'option antispoof, c'est que tu dis : - bloquage des paquets entrants ayant une ip source appartenant au réseau associé à ep0 Mais mon routeur à forcément une ip appartenant au même sous-réseaux que ma passerelle. Le routeur à une ip publique, il route le traffic, vers un segment de réseau privé où se trouve l'interface interne du routeur et l'interface externe de ma passerelle. Les deux ont une ip privée. Et la passerelle renvoi par la suite les paquets soit à la DMZ soit au Lan. J'ai configuré quelques règles, mais apparamment, les règles par défaut bloquent tout le reste, malgré le fait que j'ai permi le traffic icmp. Enfin je te poste mes règles et si tu peux m'aider à les corriger ce serait sympa, car tu vas trouver que c'est un gros fouttoir. #[Macros] Initialisation des variables Wan="em0" DMZ="vr1" Lan="vr0" Ftpmail_srv="192.168.8.2" Internal_net="192.168.15.0/24" Secure_net="192.168.8.0/24" localwan_net="192.168.1.0/24" WanGateway="192.168.1.1" #[Tables] similar to macros, but more flexible for many addresses. table <rfc1918> const { 192.168.0.0/16, 172.16.0.0/12, 10.0.0.0/8 } #[Options] tune the behavior of pf, default values are given. set limit { states 30000, frags 5000 } # [Normalisation] des paquets sur le pare-feu: controle et assemblage des paquets. scrub in on $Wan all fragment reassemble scrub out on $Wan all random-id fragment reassemble #[Queueing]: rule-based bandwidth control. #[Redirection] #[FILTERING]: ##[LoopBack interface] pass quick on lo0 all ##[Regle par defaut] plus log #block out log all block in log all ##[ICMP] traitement du flux icmp pour la maintenance ###[WAN Port] pass out on $Wan inet proto icmp from $Wan to any icmp-type 8 code 0 keep state pass in on $Wan inet proto icmp from any to $Wan icmp-type 8 code 0 keep state (max 32) pass in on $Wan inet proto icmp from any to $Ftpmail_srv icmp-type 8 code 0 keep state (max 32) pass in on $Wan inet proto icmp from $WanGateway to any icmp-type 8 code 0 keep state pass out on $Wan inet proto icmp from $Secure_net to any icmp-type 8 code 0 keep state pass out on $Wan inet proto icmp from $DMZ to any icmp-type 8 code 0 keep state pass out on $Wan inet proto icmp from $Lan to any icmp-type 8 code 0 keep state pass out on $Wan inet proto icmp from $Internal_net to any icmp-type 8 code 0 keep state ###[DMZ Port] pass out on $DMZ inet proto icmp from $DMZ to any icmp-type 8 code 0 keep state pass out on $DMZ inet proto icmp from $Secure_net to any icmp-type 8 code 0 keep state pass in on $DMZ inet proto icmp from any to $DMZ icmp-type 8 code 0 keep state (max 32) pass in on $DMZ inet proto icmp from any to $Ftpmail_srv icmp-type 8 code 0 keep state (max 32) ###[LAN Port] pass out on $Lan inet proto icmp from $Lan to any icmp-type 8 code 0 keep state pass out on $Lan inet proto icmp from $Internal_net to any icmp-type 8 code 0 keep state pass in on $Lan inet proto icmp from any to $Lan icmp-type 8 code 0 keep state (max 32) pass in on $Lan inet proto icmp from any to $Internal_net icmp-type 8 code 0 keep state ##[Wan Interface] pass out quick on $Wan inet proto tcp from $Lan to any modulate state flags S/SA pass out quick on $Wan inet proto tcp from $Internal_net to any modulate state flags S/SA pass out quick on $Wan inet proto tcp from $DMZ to any modulate state flags S/SA pass out quick on $Wan inet proto tcp from $Secure_net to any modulate state flags S/SA pass in on $Wan inet proto tcp from any to $Ftpmail_srv port { 26,115, 21, 20, 8090, 8091 } keep state ##[LAN interface] pass out quick on $Lan from $Internal_net to any keep state ##[DMZ Interface] pass out quick on $DMZ from $Secure_net to $Wan keep state pass out quick on $DMZ from $Secure_net to $Lan pass in quick on $DMZ proto tcp from $Internal_net to $Ftpmail_srv port { 26, 8090, 8091, 21, 20 } pass in on $DMZ proto tcp from $Wan to $Ftpmail_srv port { 26, 8091, 8090, 21, 20 } En tout cas merci d'avance si tu peux y jeter un oeil |
| conti |
|
| nickola | mode normal. Le routeur est un routeur netopia qui fait un filtrage de paquet de base. Il est relié à ma passerelle BSD. |
| conti |
|
| nickola | Rebonjour,
je rencontre un^petit problème dans la configuration du pf.conf, en ce qui concerne l'ip spoofing. En effet la config de la passerelle est la suivante : 3 cartes réseaux 1 Lan en 192.168.10.1 1 DMZ en 192.168.50.1 1 vers Modem/routeur en 192.168.25.1 l'ip du routeur/Modem est 192.168.25.2 Puis-je protéger la passerelle des ip non-routable sachant que tous les paquets venant de l'extérieur vont lui être envoyés par le routeur "192.168.25.2" ? -> Conti pourrais-tu m'aider à optimiser mon filtre ? |
| neriki |
|
| black_lord | puisqu'on a un sujet netbsd autant en profiter : est il possible d'installer netbsd sur une machine ne possedant ni lecteur CD ni carte reseau simplement par port serie ? (protocole PLIP il me semble)
thx |
| conti |
|
| fioul666 |
|
| axey |
|
| nickola | Seulement la procédure d'install donnée ci-dessus est faite pour des tests. Une fois l'install ok et qu'elle fonctionne, comment faire pour l'installer sur le système de fichier courant, afin que pf.conf soit bien dans /etc ?
[Notes :]La version actuel de pf pour FreeBSD est la 2.03. Par défaut lorsqu'on install la collection de ports, c'estla version 2.00 qui est dans le dossier /usr/ports/security/pf. Sans vouloir insister, le /dev/pf est créé lors de l'install du ports où lus tard ? |
| conti |
|
| nickola | Kenshln : Ben apparemment çà dépend des version de pf. Dans le bouquin des éditions eyrolles cité plus haut, il dise bien pf=YES, mais dans les page de man ou les pkg-qlqchose on parle de rajouter dans le rc.conf :
pf_enable="YES" pf_logd="YES" pf_conf="/usr/local/etc/pf.conf" Et puis je suis toujours bloqué avec mon /dev/pf qui n'existe pas du coup pfctl -f ne marche pas du coup le Firewall ne marche pas. Le routage marche niquel mais çà c'est on ne peut plus ismple par contre la partie firewall marche pas du tout. |
| kenshln | euhhhhh
nickola, je me permet de te répondre : (manip sous openBSD) dans rc.conf pf=YES pf_rules=/etc/pf.conf # Packet filter rules file ensuite tu peux monter l'interface pflog0 sinon pour activer pf : pfctl -e -R -N -f /etc/pf.conf <= tu l'enable, charge les regles de nat et de filtrages pour le disable : pfctl -F all Vala, sinon tout ceci est marqué dans les liens, que j'ai cité plus haut. |
| conti |
|
| nickola | Je viens de tout réinstaller, et idem. Je n'ai pas de "pf" dans /dev |
| nickola | Bonjour Conti
Je dois actuellement monter un firewal sous FreeBSD avec PF. Le pb c'est que les règles ne s'appliquent pas. en faisant un pfctl -f il me dit que /dev/pf n'existe pas. Et en effet lors de l'installation du ports de pf, et bien rien a été créé dans le /dev. Qu'as tu mis par ailleurs dans ton rc.conf ? pf="YES" ou pf_enable="YES" ? Par défaut la doc de pf conseil de recompiler le noyau, mais en y regardant bien, il se trouve que les variables à insérer dans le noyau existe déjà : "service Pf" y est déjà ainsi que "options PFIL_HOOKS". Seul Random_ÏP_ID est a rajouté. As-tu recompilé ton noyau ? Merci de ta réponse ! |
| fioul666 |
|
| conti |
|
| fioul666 |
|
| fioul666 |
|
| conti | Bon faut démystifier un peu là... OpenBSD et NetBSD ont rien de bien sorcier. Faut juste lire les docs. Bon, ok, y'a que 10% des personnes qui lisent les docs, les autres ne l'ont pas lu et disent que c'est mal foutu ou trop difficile à installer.
Sinon, OpenBSD est ce qui se fait de mieux pour un firewall. NetBSD et FreeBSD sont juste derrière. NetBSD a l'avantage de s'installer sur tout et n'importe quoi, tout en étant à jour. Debian est par exemple dispo sur des tas de plateformes, mais les versions dispos datent de la guerre 14-18. FreeBSD est probablement le BSD le plus adapté pour un client x86. |
| mum |
|
| o-0-o |
|
| axey | Yep, OpenBSD comme firewall ça déchire. Ne serait-ce que pour le filtrage par OS ou la redondance (ifstated / carp / pfsync). |
