J'ai un serveur FreeBSD 8.2 qui fonctionne correctement, à part quelques
petits points de détail.
Entre autres choses, si je le reboote, les règles du firewall PF ne sont
pas chargée quand le système démarre.
J'ai pourtant bien ces lignes dans mon /etc/rc.conf :
pf_enable="YES" # Set to YES to enable packet filter (pf)
pflog_enable="YES" # Set to YES to enable packet filter logging
Après reboot, j'ai ça :
# pfctl -s all
No ALTQ support in kernel
ALTQ related functions disabled
FILTER RULES:
INFO:
Status: Enabled for 3 days 01:46:57 Debug: Urgent
State Table Total Rate
current entries 0
searches 43387599 163.3/s
inserts 0 0.0/s
removals 0 0.0/s
Counters
match 43387599 163.3/s
bad-offset 0 0.0/s
fragment 0 0.0/s
...
OS FINGERPRINTS:
696 fingerprints loaded
Alors que bien sûr, j'ai un paquet de règles dans mon /etc/pf.conf.
Je n'ai rien trouvé dans le dmesg.boot, dans messages, ni ailleurs.
Une idée ?
patpro
--
A vendre : KVM IP 16 ports APC
http://patpro.net/blog/index.php/2008/01/12/133
À (at) Fri, 09 Dec 2011 14:57:11 +0100, patpro ~ Patrick Proniewski écrivait (wrote):
> La ligne du pf.conf incriminée est : > > pass out log quick proto tcp from any to smtp.univ-lyon2.fr port 25 user > 80 keep state label " to smtp:25 output" > > Visiblement, si ça résout pas au moment du boot, c'est cuit. Je vais > remplacer par l'IP, mais c'est un peu relou.
C'est peut-être "relou" mais c'est sain.
Là, vos règlages firewall dépendent d'une réponse DNS. Ce DNS est-il sécurisé ? Fiable ? Que faire si l'adresse IP change ? etc.
L'adresse IP fixe est quand même bien plus sûr. ;-)
Un moyen de répondre au besoin : utiliser une table à la place du nom et mettre à jour cette table après le boot (une fois que le DNS répond correctement) et de manière régulière (si l'adresse change)...
je maitrise l'adresse, et le collègue dans le bureau d'à coté maitrise le DNS, donc c'est relativement bordé. J'ai mis l'adresse en dur dans la config du firewall, ce n'est pas un drame, c'est juste un peu moins portable.
merci en tout cas pour les conseils divers, je garde ça dnas un coin de la tête. Peut être qu'une crontab @reboot ferait l'affaire. Reste à voir à quel moment c'est lancé (avant ou apres le DNS ? :) )
patpro
-- A vendre : KVM IP 16 ports APC http://patpro.net/blog/index.php/2008/01/12/133
In article <wt9k465hjwz.fsf@marceau.mines-albi.fr>,
Paul Gaborit <Paul.Gaborit@invalid.invalid> wrote:
À (at) Fri, 09 Dec 2011 14:57:11 +0100,
patpro ~ Patrick Proniewski <patpro@boleskine.patpro.net> écrivait (wrote):
> La ligne du pf.conf incriminée est :
>
> pass out log quick proto tcp from any to smtp.univ-lyon2.fr port 25 user
> 80 keep state label "www@any to smtp:25 output"
>
> Visiblement, si ça résout pas au moment du boot, c'est cuit. Je vais
> remplacer par l'IP, mais c'est un peu relou.
C'est peut-être "relou" mais c'est sain.
Là, vos règlages firewall dépendent d'une réponse DNS. Ce DNS est-il
sécurisé ? Fiable ? Que faire si l'adresse IP change ? etc.
L'adresse IP fixe est quand même bien plus sûr. ;-)
Un moyen de répondre au besoin : utiliser une table à la place du nom et
mettre à jour cette table après le boot (une fois que le DNS répond
correctement) et de manière régulière (si l'adresse change)...
je maitrise l'adresse, et le collègue dans le bureau d'à coté maitrise
le DNS, donc c'est relativement bordé. J'ai mis l'adresse en dur dans la
config du firewall, ce n'est pas un drame, c'est juste un peu moins
portable.
merci en tout cas pour les conseils divers, je garde ça dnas un coin de
la tête.
Peut être qu'une crontab @reboot ferait l'affaire. Reste à voir à quel
moment c'est lancé (avant ou apres le DNS ? :) )
patpro
--
A vendre : KVM IP 16 ports APC
http://patpro.net/blog/index.php/2008/01/12/133
À (at) Fri, 09 Dec 2011 14:57:11 +0100, patpro ~ Patrick Proniewski écrivait (wrote):
> La ligne du pf.conf incriminée est : > > pass out log quick proto tcp from any to smtp.univ-lyon2.fr port 25 user > 80 keep state label " to smtp:25 output" > > Visiblement, si ça résout pas au moment du boot, c'est cuit. Je vais > remplacer par l'IP, mais c'est un peu relou.
C'est peut-être "relou" mais c'est sain.
Là, vos règlages firewall dépendent d'une réponse DNS. Ce DNS est-il sécurisé ? Fiable ? Que faire si l'adresse IP change ? etc.
L'adresse IP fixe est quand même bien plus sûr. ;-)
Un moyen de répondre au besoin : utiliser une table à la place du nom et mettre à jour cette table après le boot (une fois que le DNS répond correctement) et de manière régulière (si l'adresse change)...
je maitrise l'adresse, et le collègue dans le bureau d'à coté maitrise le DNS, donc c'est relativement bordé. J'ai mis l'adresse en dur dans la config du firewall, ce n'est pas un drame, c'est juste un peu moins portable.
merci en tout cas pour les conseils divers, je garde ça dnas un coin de la tête. Peut être qu'une crontab @reboot ferait l'affaire. Reste à voir à quel moment c'est lancé (avant ou apres le DNS ? :) )
patpro
-- A vendre : KVM IP 16 ports APC http://patpro.net/blog/index.php/2008/01/12/133