Je m'arrache les cheveux depuis ce matin sur mon firewall. Pour ue
raison que j'ignore, il refuse de nater :/
Le pire est que ça a marché, mais que ça ne marche plus pour une raison
que je n'ai pas saisie. Pis j'ai pas mal trifouillé depuis, donc
impossible de revenir en arrière.
J'ai réduit le fichier de config à sa plus simple expression :
nat pass log on $dmz_if from $lan to any -> ($dmz_if)
Ce qui donne ceci une fois les macros étendues :
[root@fremen root]# pfctl -s nat
nat pass log on sis0 inet from 10.42.0.0/24 to any -> (sis0) round-robin
Il n'y a pas de filtrage :
[root@fremen root]# pfctl -s rules
scrub in all fragment reassemble
Pourtant, si je ping une machine de la dmz depuis le lan, pas de nat,
les paquets arrivent avec leur adresse d'origine
bastien@arrakeen:~$ sudo tcpdump -vv -i eth1 icmp
tcpdump: listening on eth1, link-type EN10MB (Ethernet), capture size 96
bytes
22:22:11.189603 IP (tos 0x0, ttl 63, id 0, offset 0, flags [DF], proto:
ICMP (1), length: 84) sandworm > arrakeen: ICMP echo request, id 19239,
seq 1, length 64
Les logs quand à eux restent désespérements vides.