Forums Linux Autres OS BSD

[NetBSD] ipf.conf

Le dimanche 03 Mai 2015 à 13:11

JKB

Bonjour à tous,

J'ai un petit souci avec un serveur/routeur/machine à tout faire
NetBSD. En fait, un truc dans la configuration de ipf.conf
m'échappe.

La configuration est la suivante : machine sparc64 avec l'interface
gem0 allant sur internet, tap0 allant sur un VPN et hme? vers les
LANs.

Le daemon sshd écoute sur le port 22 pour toutes les interfaces et
en plus sur le port 2222 de l'interface gem0 (parce que je n'ai pas
la main sur le routeur radio et que le port 2222/TCP est redirigé
sur ma machine).

J'ai donc écrit dans mon /etc/ipf.conf :

pass in from any to any
pass out from any to any
block in on gem0 proto tcp from any to any port = 2222
pass in on gem0 proto tcp from rayleigh.systella.fr to any port = 2222
pass in on gem0 proto tcp from newton.systella.fr to any port = 2222
pass in on hme0 to tap0:192.168.1.1 proto tcp
from 192.168.10.250 port = 80 to any

Si j'ai bien compris la doc, la dernière règle qui correspond au
paquet reçu est celle qui détermine la destinée de ce paquet. J'ai
pourtant des tentatives de connexions sur le port 2222 dans mes
logs et aucun paquet marqué 'blocked' dans la sortie de ipfstat.

Qu'ai-je donc raté ?

Cordialement,

JKB

--
Si votre demande me parvient sur carte perforée, je titiouaillerai très
volontiers une réponse
=> http://grincheux.de-charybde-en-scylla.fr
=> http://loubardes.de-charybde-en-scylla.fr

Partager ce contenu :

Vos réponses

Trier par : date / pertinence

Bruno Ducrot

Le 04/05/2015 à 08:14 #26351332

On 2015-05-03, JKB wrote:

Bonjour à tous,

J'ai un petit souci avec un serveur/routeur/machine à tout faire
NetBSD. En fait, un truc dans la configuration de ipf.conf
m'échappe.

La configuration est la suivante : machine sparc64 avec l'interface
gem0 allant sur internet, tap0 allant sur un VPN et hme? vers les
LANs.

...

J'ai donc écrit dans mon /etc/ipf.conf :

pass in from any to any
pass out from any to any
block in on gem0 proto tcp from any to any port = 2222
pass in on gem0 proto tcp from rayleigh.systella.fr to any port = 2222
pass in on gem0 proto tcp from newton.systella.fr to any port = 2222
pass in on hme0 to tap0:192.168.1.1 proto tcp
from 192.168.10.250 port = 80 to any

Si j'ai bien compris la doc, la dernière règle qui correspond au
paquet reçu est celle qui détermine la destinée de ce paquet.J'ai
pourtant des tentatives de connexions sur le port 2222 dans mes
logs et aucun paquet marqué 'blocked' dans la sortie de ipfstat.

Les règles s'évalue de la première vers la dernière.

La règle correspondante aux paquets que tu désires bloqué est ici
'pass in from any to any'. C'est pourquoi ça merdoie.

Il faudrait que tu déplaces les deux règles :
pass in from any to any
pass out from any to any
vers la fin du fichier.

A plus,

--
Bruno Ducrot

A quoi ca sert que Ducrot hisse des carcasses ?

-1 Répondre en citant

JKB

Le 04/05/2015 à 08:31 #26351333

Le Mon, 4 May 2015 06:14:05 +0000 (UTC),
Bruno Ducrot

On 2015-05-03, JKB wrote:

Bonjour à tous,

J'ai un petit souci avec un serveur/routeur/machine à tout faire
NetBSD. En fait, un truc dans la configuration de ipf.conf
m'échappe.

La configuration est la suivante : machine sparc64 avec l'interface
gem0 allant sur internet, tap0 allant sur un VPN et hme? vers les
LANs.

...

J'ai donc écrit dans mon /etc/ipf.conf :

pass in from any to any
pass out from any to any
block in on gem0 proto tcp from any to any port = 2222
pass in on gem0 proto tcp from rayleigh.systella.fr to any port = 2222
pass in on gem0 proto tcp from newton.systella.fr to any port = 2222
pass in on hme0 to tap0:192.168.1.1 proto tcp
from 192.168.10.250 port = 80 to any

Si j'ai bien compris la doc, la dernière règle qui correspond au
paquet reçu est celle qui détermine la destinée de ce paquet.J'ai
pourtant des tentatives de connexions sur le port 2222 dans mes
logs et aucun paquet marqué 'blocked' dans la sortie de ipfstat.

Les règles s'évalue de la première vers la dernière.

Ça, j'ai bien compris.

La règle correspondante aux paquets que tu désires bloqué est ici
'pass in from any to any'. C'est pourquoi ça merdoie.

Il faudrait que tu déplaces les deux règles :
pass in from any to any
pass out from any to any
vers la fin du fichier.

Alors question du matin. Est-ce que l'évaluation s'arrête à la
première règle qui 'matche' ou à la dernière ? Parce que dans la
doc, j'ai vu que cela évaluait toutes les règles et que cela
s'arrêtait à la dernière qui correspondait. Si je mets pass in from
any to any en fin de mon fichier, pourquoi est-ce que cette règle ne
prévaut pas sur toutes les autres ?

Cordialement,

JKB

--
Si votre demande me parvient sur carte perforée, je titiouaillerai très
volontiers une réponse...
=> http://grincheux.de-charybde-en-scylla.fr
=> http://loubardes.de-charybde-en-scylla.fr

-1 Répondre en citant

Manuel Bouyer

Le 04/05/2015 à 20:26 #26351396

JKB

Le Mon, 4 May 2015 06:14:05 +0000 (UTC),
Bruno Ducrot > On 2015-05-03, JKB wrote:
>> Bonjour à tous,
>>
>> J'ai un petit souci avec un serveur/routeur/machine à tout faire
>> NetBSD. En fait, un truc dans la configuration de ipf.conf
>> m'échappe.
>>
>> La configuration est la suivante : machine sparc64 avec l'interface
>> gem0 allant sur internet, tap0 allant sur un VPN et hme? vers les
>> LANs.
>>
> ...
>
>> J'ai donc écrit dans mon /etc/ipf.conf :
>>
>> pass in from any to any
>> pass out from any to any
>> block in on gem0 proto tcp from any to any port = 2222
>> pass in on gem0 proto tcp from rayleigh.systella.fr to any port = 2222
>> pass in on gem0 proto tcp from newton.systella.fr to any port = 2222
>> pass in on hme0 to tap0:192.168.1.1 proto tcp
>> from 192.168.10.250 port = 80 to any
>>
>> Si j'ai bien compris la doc, la dernière règle qui correspond au
>> paquet reçu est celle qui détermine la destinée de ce paquet.J'ai
>> pourtant des tentatives de connexions sur le port 2222 dans mes
>> logs et aucun paquet marqué 'blocked' dans la sortie de ipfstat.
>>
>
> Les règles s'évalue de la première vers la dernière.

Ça, j'ai bien compris.

> La règle correspondante aux paquets que tu désires bloqué est ici
> 'pass in from any to any'. C'est pourquoi ça merdoie.
>
> Il faudrait que tu déplaces les deux règles :
> pass in from any to any
> pass out from any to any
> vers la fin du fichier.

Alors question du matin. Est-ce que l'évaluation s'arrête à la
première règle qui 'matche' ou à la dernière ? Parce que dans la

A la derniere, donc il faut bien mettre le 'pass in from any to any' au debut
(la directive quick permet de s'arreter avant la derniere mais ca n'est pas
utilise ici).
Tu pourrait ajouter 'log' au 'pass in ...' et lancer ipmon pour voir quelle
regle laisser passer les paquets.

--
Manuel Bouyer NetBSD: 26 ans d'experience feront toujours la difference
--

-1 Répondre en citant

JKB

Le 04/05/2015 à 20:44 #26351400

Le Mon, 4 May 2015 18:26:25 +0000 (UTC),
Manuel Bouyer

JKB
Le Mon, 4 May 2015 06:14:05 +0000 (UTC),
Bruno Ducrot > On 2015-05-03, JKB wrote:
>> Bonjour à tous,
>>
>> J'ai un petit souci avec un serveur/routeur/machine à tout faire
>> NetBSD. En fait, un truc dans la configuration de ipf.conf
>> m'échappe.
>>
>> La configuration est la suivante : machine sparc64 avec l'interface
>> gem0 allant sur internet, tap0 allant sur un VPN et hme? vers les
>> LANs.
>>
> ...
>
>> J'ai donc écrit dans mon /etc/ipf.conf :
>>
>> pass in from any to any
>> pass out from any to any
>> block in on gem0 proto tcp from any to any port = 2222
>> pass in on gem0 proto tcp from rayleigh.systella.fr to any port = 2222
>> pass in on gem0 proto tcp from newton.systella.fr to any port = 2222
>> pass in on hme0 to tap0:192.168.1.1 proto tcp
>> from 192.168.10.250 port = 80 to any
>>
>> Si j'ai bien compris la doc, la dernière règle qui correspond au
>> paquet reçu est celle qui détermine la destinée de ce paquet.J'ai
>> pourtant des tentatives de connexions sur le port 2222 dans mes
>> logs et aucun paquet marqué 'blocked' dans la sortie de ipfstat.
>>
>
> Les règles s'évalue de la première vers la dernière.

Ça, j'ai bien compris.

> La règle correspondante aux paquets que tu désires bloqué est ici
> 'pass in from any to any'. C'est pourquoi ça merdoie.
>
> Il faudrait que tu déplaces les deux règles :
> pass in from any to any
> pass out from any to any
> vers la fin du fichier.

Alors question du matin. Est-ce que l'évaluation s'arrête à la
première règle qui 'matche' ou à la dernière ? Parce que dans la

A la derniere, donc il faut bien mettre le 'pass in from any to any' au debut
(la directive quick permet de s'arreter avant la derniere mais ca n'est pas
utilise ici).
Tu pourrait ajouter 'log' au 'pass in ...' et lancer ipmon pour voir quelle
regle laisser passer les paquets.

Je note. Et je regarde ce qu'il va se passer.

Merci du tuyau.

JKB

--
Si votre demande me parvient sur carte perforée, je titiouaillerai très
volontiers une réponse...
=> http://grincheux.de-charybde-en-scylla.fr
=> http://loubardes.de-charybde-en-scylla.fr

-1 Répondre en citant

Poster une réponse