J'ai un petit souci avec un serveur/routeur/machine à tout faire
NetBSD. En fait, un truc dans la configuration de ipf.conf
m'échappe.
La configuration est la suivante : machine sparc64 avec l'interface
gem0 allant sur internet, tap0 allant sur un VPN et hme? vers les
LANs.
Le daemon sshd écoute sur le port 22 pour toutes les interfaces et
en plus sur le port 2222 de l'interface gem0 (parce que je n'ai pas
la main sur le routeur radio et que le port 2222/TCP est redirigé
sur ma machine).
J'ai donc écrit dans mon /etc/ipf.conf :
pass in from any to any
pass out from any to any
block in on gem0 proto tcp from any to any port = 2222
pass in on gem0 proto tcp from rayleigh.systella.fr to any port = 2222
pass in on gem0 proto tcp from newton.systella.fr to any port = 2222
pass in on hme0 to tap0:192.168.1.1 proto tcp \
from 192.168.10.250 port = 80 to any
Si j'ai bien compris la doc, la dernière règle qui correspond au
paquet reçu est celle qui détermine la destinée de ce paquet. J'ai
pourtant des tentatives de connexions sur le port 2222 dans mes
logs et aucun paquet marqué 'blocked' dans la sortie de ipfstat.
Qu'ai-je donc raté ?
Cordialement,
JKB
--
Si votre demande me parvient sur carte perforée, je titiouaillerai très
volontiers une réponse...
=> http://grincheux.de-charybde-en-scylla.fr
=> http://loubardes.de-charybde-en-scylla.fr
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Bruno Ducrot
On 2015-05-03, JKB wrote:
Bonjour à tous,
J'ai un petit souci avec un serveur/routeur/machine à tout faire NetBSD. En fait, un truc dans la configuration de ipf.conf m'échappe.
La configuration est la suivante : machine sparc64 avec l'interface gem0 allant sur internet, tap0 allant sur un VPN et hme? vers les LANs.
...
J'ai donc écrit dans mon /etc/ipf.conf :
pass in from any to any pass out from any to any block in on gem0 proto tcp from any to any port = 2222 pass in on gem0 proto tcp from rayleigh.systella.fr to any port = 2222 pass in on gem0 proto tcp from newton.systella.fr to any port = 2222 pass in on hme0 to tap0:192.168.1.1 proto tcp from 192.168.10.250 port = 80 to any
Si j'ai bien compris la doc, la dernière règle qui correspond au paquet reçu est celle qui détermine la destinée de ce paquet.J'ai pourtant des tentatives de connexions sur le port 2222 dans mes logs et aucun paquet marqué 'blocked' dans la sortie de ipfstat.
Les règles s'évalue de la première vers la dernière.
La règle correspondante aux paquets que tu désires bloqué est ici 'pass in from any to any'. C'est pourquoi ça merdoie.
Il faudrait que tu déplaces les deux règles : pass in from any to any pass out from any to any vers la fin du fichier.
A plus,
-- Bruno Ducrot
A quoi ca sert que Ducrot hisse des carcasses ?
On 2015-05-03, JKB wrote:
Bonjour à tous,
J'ai un petit souci avec un serveur/routeur/machine à tout faire
NetBSD. En fait, un truc dans la configuration de ipf.conf
m'échappe.
La configuration est la suivante : machine sparc64 avec l'interface
gem0 allant sur internet, tap0 allant sur un VPN et hme? vers les
LANs.
...
J'ai donc écrit dans mon /etc/ipf.conf :
pass in from any to any
pass out from any to any
block in on gem0 proto tcp from any to any port = 2222
pass in on gem0 proto tcp from rayleigh.systella.fr to any port = 2222
pass in on gem0 proto tcp from newton.systella.fr to any port = 2222
pass in on hme0 to tap0:192.168.1.1 proto tcp
from 192.168.10.250 port = 80 to any
Si j'ai bien compris la doc, la dernière règle qui correspond au
paquet reçu est celle qui détermine la destinée de ce paquet.J'ai
pourtant des tentatives de connexions sur le port 2222 dans mes
logs et aucun paquet marqué 'blocked' dans la sortie de ipfstat.
Les règles s'évalue de la première vers la dernière.
La règle correspondante aux paquets que tu désires bloqué est ici
'pass in from any to any'. C'est pourquoi ça merdoie.
Il faudrait que tu déplaces les deux règles :
pass in from any to any
pass out from any to any
vers la fin du fichier.
J'ai un petit souci avec un serveur/routeur/machine à tout faire NetBSD. En fait, un truc dans la configuration de ipf.conf m'échappe.
La configuration est la suivante : machine sparc64 avec l'interface gem0 allant sur internet, tap0 allant sur un VPN et hme? vers les LANs.
...
J'ai donc écrit dans mon /etc/ipf.conf :
pass in from any to any pass out from any to any block in on gem0 proto tcp from any to any port = 2222 pass in on gem0 proto tcp from rayleigh.systella.fr to any port = 2222 pass in on gem0 proto tcp from newton.systella.fr to any port = 2222 pass in on hme0 to tap0:192.168.1.1 proto tcp from 192.168.10.250 port = 80 to any
Si j'ai bien compris la doc, la dernière règle qui correspond au paquet reçu est celle qui détermine la destinée de ce paquet.J'ai pourtant des tentatives de connexions sur le port 2222 dans mes logs et aucun paquet marqué 'blocked' dans la sortie de ipfstat.
Les règles s'évalue de la première vers la dernière.
La règle correspondante aux paquets que tu désires bloqué est ici 'pass in from any to any'. C'est pourquoi ça merdoie.
Il faudrait que tu déplaces les deux règles : pass in from any to any pass out from any to any vers la fin du fichier.
A plus,
-- Bruno Ducrot
A quoi ca sert que Ducrot hisse des carcasses ?
JKB
Le Mon, 4 May 2015 06:14:05 +0000 (UTC), Bruno Ducrot écrivait :
On 2015-05-03, JKB wrote:
Bonjour à tous,
J'ai un petit souci avec un serveur/routeur/machine à tout faire NetBSD. En fait, un truc dans la configuration de ipf.conf m'échappe.
La configuration est la suivante : machine sparc64 avec l'interface gem0 allant sur internet, tap0 allant sur un VPN et hme? vers les LANs.
...
J'ai donc écrit dans mon /etc/ipf.conf :
pass in from any to any pass out from any to any block in on gem0 proto tcp from any to any port = 2222 pass in on gem0 proto tcp from rayleigh.systella.fr to any port = 2222 pass in on gem0 proto tcp from newton.systella.fr to any port = 2222 pass in on hme0 to tap0:192.168.1.1 proto tcp from 192.168.10.250 port = 80 to any
Si j'ai bien compris la doc, la dernière règle qui correspond au paquet reçu est celle qui détermine la destinée de ce paquet.J'ai pourtant des tentatives de connexions sur le port 2222 dans mes logs et aucun paquet marqué 'blocked' dans la sortie de ipfstat.
Les règles s'évalue de la première vers la dernière.
Ça, j'ai bien compris.
La règle correspondante aux paquets que tu désires bloqué est ici 'pass in from any to any'. C'est pourquoi ça merdoie.
Il faudrait que tu déplaces les deux règles : pass in from any to any pass out from any to any vers la fin du fichier.
Alors question du matin. Est-ce que l'évaluation s'arrête à la première règle qui 'matche' ou à la dernière ? Parce que dans la doc, j'ai vu que cela évaluait toutes les règles et que cela s'arrêtait à la dernière qui correspondait. Si je mets pass in from any to any en fin de mon fichier, pourquoi est-ce que cette règle ne prévaut pas sur toutes les autres ?
Cordialement,
JKB
-- Si votre demande me parvient sur carte perforée, je titiouaillerai très volontiers une réponse... => http://grincheux.de-charybde-en-scylla.fr => http://loubardes.de-charybde-en-scylla.fr
Le Mon, 4 May 2015 06:14:05 +0000 (UTC),
Bruno Ducrot <ducrot@echo.fr> écrivait :
On 2015-05-03, JKB wrote:
Bonjour à tous,
J'ai un petit souci avec un serveur/routeur/machine à tout faire
NetBSD. En fait, un truc dans la configuration de ipf.conf
m'échappe.
La configuration est la suivante : machine sparc64 avec l'interface
gem0 allant sur internet, tap0 allant sur un VPN et hme? vers les
LANs.
...
J'ai donc écrit dans mon /etc/ipf.conf :
pass in from any to any
pass out from any to any
block in on gem0 proto tcp from any to any port = 2222
pass in on gem0 proto tcp from rayleigh.systella.fr to any port = 2222
pass in on gem0 proto tcp from newton.systella.fr to any port = 2222
pass in on hme0 to tap0:192.168.1.1 proto tcp
from 192.168.10.250 port = 80 to any
Si j'ai bien compris la doc, la dernière règle qui correspond au
paquet reçu est celle qui détermine la destinée de ce paquet.J'ai
pourtant des tentatives de connexions sur le port 2222 dans mes
logs et aucun paquet marqué 'blocked' dans la sortie de ipfstat.
Les règles s'évalue de la première vers la dernière.
Ça, j'ai bien compris.
La règle correspondante aux paquets que tu désires bloqué est ici
'pass in from any to any'. C'est pourquoi ça merdoie.
Il faudrait que tu déplaces les deux règles :
pass in from any to any
pass out from any to any
vers la fin du fichier.
Alors question du matin. Est-ce que l'évaluation s'arrête à la
première règle qui 'matche' ou à la dernière ? Parce que dans la
doc, j'ai vu que cela évaluait toutes les règles et que cela
s'arrêtait à la dernière qui correspondait. Si je mets pass in from
any to any en fin de mon fichier, pourquoi est-ce que cette règle ne
prévaut pas sur toutes les autres ?
Cordialement,
JKB
--
Si votre demande me parvient sur carte perforée, je titiouaillerai très
volontiers une réponse...
=> http://grincheux.de-charybde-en-scylla.fr
=> http://loubardes.de-charybde-en-scylla.fr
Le Mon, 4 May 2015 06:14:05 +0000 (UTC), Bruno Ducrot écrivait :
On 2015-05-03, JKB wrote:
Bonjour à tous,
J'ai un petit souci avec un serveur/routeur/machine à tout faire NetBSD. En fait, un truc dans la configuration de ipf.conf m'échappe.
La configuration est la suivante : machine sparc64 avec l'interface gem0 allant sur internet, tap0 allant sur un VPN et hme? vers les LANs.
...
J'ai donc écrit dans mon /etc/ipf.conf :
pass in from any to any pass out from any to any block in on gem0 proto tcp from any to any port = 2222 pass in on gem0 proto tcp from rayleigh.systella.fr to any port = 2222 pass in on gem0 proto tcp from newton.systella.fr to any port = 2222 pass in on hme0 to tap0:192.168.1.1 proto tcp from 192.168.10.250 port = 80 to any
Si j'ai bien compris la doc, la dernière règle qui correspond au paquet reçu est celle qui détermine la destinée de ce paquet.J'ai pourtant des tentatives de connexions sur le port 2222 dans mes logs et aucun paquet marqué 'blocked' dans la sortie de ipfstat.
Les règles s'évalue de la première vers la dernière.
Ça, j'ai bien compris.
La règle correspondante aux paquets que tu désires bloqué est ici 'pass in from any to any'. C'est pourquoi ça merdoie.
Il faudrait que tu déplaces les deux règles : pass in from any to any pass out from any to any vers la fin du fichier.
Alors question du matin. Est-ce que l'évaluation s'arrête à la première règle qui 'matche' ou à la dernière ? Parce que dans la doc, j'ai vu que cela évaluait toutes les règles et que cela s'arrêtait à la dernière qui correspondait. Si je mets pass in from any to any en fin de mon fichier, pourquoi est-ce que cette règle ne prévaut pas sur toutes les autres ?
Cordialement,
JKB
-- Si votre demande me parvient sur carte perforée, je titiouaillerai très volontiers une réponse... => http://grincheux.de-charybde-en-scylla.fr => http://loubardes.de-charybde-en-scylla.fr
Manuel Bouyer
JKB wrote:
Le Mon, 4 May 2015 06:14:05 +0000 (UTC), Bruno Ducrot écrivait : > On 2015-05-03, JKB wrote: >> Bonjour à tous, >> >> J'ai un petit souci avec un serveur/routeur/machine à tout faire >> NetBSD. En fait, un truc dans la configuration de ipf.conf >> m'échappe. >> >> La configuration est la suivante : machine sparc64 avec l'interface >> gem0 allant sur internet, tap0 allant sur un VPN et hme? vers les >> LANs. >> > ... > >> J'ai donc écrit dans mon /etc/ipf.conf : >> >> pass in from any to any >> pass out from any to any >> block in on gem0 proto tcp from any to any port = 2222 >> pass in on gem0 proto tcp from rayleigh.systella.fr to any port = 2222 >> pass in on gem0 proto tcp from newton.systella.fr to any port = 2222 >> pass in on hme0 to tap0:192.168.1.1 proto tcp >> from 192.168.10.250 port = 80 to any >> >> Si j'ai bien compris la doc, la dernière règle qui correspond au >> paquet reçu est celle qui détermine la destinée de ce paquet.J'ai >> pourtant des tentatives de connexions sur le port 2222 dans mes >> logs et aucun paquet marqué 'blocked' dans la sortie de ipfstat. >> > > Les règles s'évalue de la première vers la dernière.
Ça, j'ai bien compris.
> La règle correspondante aux paquets que tu désires bloqué est ici > 'pass in from any to any'. C'est pourquoi ça merdoie. > > Il faudrait que tu déplaces les deux règles : > pass in from any to any > pass out from any to any > vers la fin du fichier.
Alors question du matin. Est-ce que l'évaluation s'arrête à la première règle qui 'matche' ou à la dernière ? Parce que dans la
A la derniere, donc il faut bien mettre le 'pass in from any to any' au debut (la directive quick permet de s'arreter avant la derniere mais ca n'est pas utilise ici). Tu pourrait ajouter 'log' au 'pass in ...' et lancer ipmon pour voir quelle regle laisser passer les paquets.
-- Manuel Bouyer NetBSD: 26 ans d'experience feront toujours la difference --
JKB <jkb@koenigsberg.invalid> wrote:
Le Mon, 4 May 2015 06:14:05 +0000 (UTC),
Bruno Ducrot <ducrot@echo.fr> écrivait :
> On 2015-05-03, JKB wrote:
>> Bonjour à tous,
>>
>> J'ai un petit souci avec un serveur/routeur/machine à tout faire
>> NetBSD. En fait, un truc dans la configuration de ipf.conf
>> m'échappe.
>>
>> La configuration est la suivante : machine sparc64 avec l'interface
>> gem0 allant sur internet, tap0 allant sur un VPN et hme? vers les
>> LANs.
>>
> ...
>
>> J'ai donc écrit dans mon /etc/ipf.conf :
>>
>> pass in from any to any
>> pass out from any to any
>> block in on gem0 proto tcp from any to any port = 2222
>> pass in on gem0 proto tcp from rayleigh.systella.fr to any port = 2222
>> pass in on gem0 proto tcp from newton.systella.fr to any port = 2222
>> pass in on hme0 to tap0:192.168.1.1 proto tcp
>> from 192.168.10.250 port = 80 to any
>>
>> Si j'ai bien compris la doc, la dernière règle qui correspond au
>> paquet reçu est celle qui détermine la destinée de ce paquet.J'ai
>> pourtant des tentatives de connexions sur le port 2222 dans mes
>> logs et aucun paquet marqué 'blocked' dans la sortie de ipfstat.
>>
>
> Les règles s'évalue de la première vers la dernière.
Ça, j'ai bien compris.
> La règle correspondante aux paquets que tu désires bloqué est ici
> 'pass in from any to any'. C'est pourquoi ça merdoie.
>
> Il faudrait que tu déplaces les deux règles :
> pass in from any to any
> pass out from any to any
> vers la fin du fichier.
Alors question du matin. Est-ce que l'évaluation s'arrête à la
première règle qui 'matche' ou à la dernière ? Parce que dans la
A la derniere, donc il faut bien mettre le 'pass in from any to any' au debut
(la directive quick permet de s'arreter avant la derniere mais ca n'est pas
utilise ici).
Tu pourrait ajouter 'log' au 'pass in ...' et lancer ipmon pour voir quelle
regle laisser passer les paquets.
--
Manuel Bouyer <bouyer@nerim.net>
NetBSD: 26 ans d'experience feront toujours la difference
--
Le Mon, 4 May 2015 06:14:05 +0000 (UTC), Bruno Ducrot écrivait : > On 2015-05-03, JKB wrote: >> Bonjour à tous, >> >> J'ai un petit souci avec un serveur/routeur/machine à tout faire >> NetBSD. En fait, un truc dans la configuration de ipf.conf >> m'échappe. >> >> La configuration est la suivante : machine sparc64 avec l'interface >> gem0 allant sur internet, tap0 allant sur un VPN et hme? vers les >> LANs. >> > ... > >> J'ai donc écrit dans mon /etc/ipf.conf : >> >> pass in from any to any >> pass out from any to any >> block in on gem0 proto tcp from any to any port = 2222 >> pass in on gem0 proto tcp from rayleigh.systella.fr to any port = 2222 >> pass in on gem0 proto tcp from newton.systella.fr to any port = 2222 >> pass in on hme0 to tap0:192.168.1.1 proto tcp >> from 192.168.10.250 port = 80 to any >> >> Si j'ai bien compris la doc, la dernière règle qui correspond au >> paquet reçu est celle qui détermine la destinée de ce paquet.J'ai >> pourtant des tentatives de connexions sur le port 2222 dans mes >> logs et aucun paquet marqué 'blocked' dans la sortie de ipfstat. >> > > Les règles s'évalue de la première vers la dernière.
Ça, j'ai bien compris.
> La règle correspondante aux paquets que tu désires bloqué est ici > 'pass in from any to any'. C'est pourquoi ça merdoie. > > Il faudrait que tu déplaces les deux règles : > pass in from any to any > pass out from any to any > vers la fin du fichier.
Alors question du matin. Est-ce que l'évaluation s'arrête à la première règle qui 'matche' ou à la dernière ? Parce que dans la
A la derniere, donc il faut bien mettre le 'pass in from any to any' au debut (la directive quick permet de s'arreter avant la derniere mais ca n'est pas utilise ici). Tu pourrait ajouter 'log' au 'pass in ...' et lancer ipmon pour voir quelle regle laisser passer les paquets.
-- Manuel Bouyer NetBSD: 26 ans d'experience feront toujours la difference --
JKB
Le Mon, 4 May 2015 18:26:25 +0000 (UTC), Manuel Bouyer écrivait :
JKB wrote:
Le Mon, 4 May 2015 06:14:05 +0000 (UTC), Bruno Ducrot écrivait : > On 2015-05-03, JKB wrote: >> Bonjour à tous, >> >> J'ai un petit souci avec un serveur/routeur/machine à tout faire >> NetBSD. En fait, un truc dans la configuration de ipf.conf >> m'échappe. >> >> La configuration est la suivante : machine sparc64 avec l'interface >> gem0 allant sur internet, tap0 allant sur un VPN et hme? vers les >> LANs. >> > ... > >> J'ai donc écrit dans mon /etc/ipf.conf : >> >> pass in from any to any >> pass out from any to any >> block in on gem0 proto tcp from any to any port = 2222 >> pass in on gem0 proto tcp from rayleigh.systella.fr to any port = 2222 >> pass in on gem0 proto tcp from newton.systella.fr to any port = 2222 >> pass in on hme0 to tap0:192.168.1.1 proto tcp >> from 192.168.10.250 port = 80 to any >> >> Si j'ai bien compris la doc, la dernière règle qui correspond au >> paquet reçu est celle qui détermine la destinée de ce paquet.J'ai >> pourtant des tentatives de connexions sur le port 2222 dans mes >> logs et aucun paquet marqué 'blocked' dans la sortie de ipfstat. >> > > Les règles s'évalue de la première vers la dernière.
Ça, j'ai bien compris.
> La règle correspondante aux paquets que tu désires bloqué est ici > 'pass in from any to any'. C'est pourquoi ça merdoie. > > Il faudrait que tu déplaces les deux règles : > pass in from any to any > pass out from any to any > vers la fin du fichier.
Alors question du matin. Est-ce que l'évaluation s'arrête à la première règle qui 'matche' ou à la dernière ? Parce que dans la
A la derniere, donc il faut bien mettre le 'pass in from any to any' au debut (la directive quick permet de s'arreter avant la derniere mais ca n'est pas utilise ici). Tu pourrait ajouter 'log' au 'pass in ...' et lancer ipmon pour voir quelle regle laisser passer les paquets.
Je note. Et je regarde ce qu'il va se passer.
Merci du tuyau.
JKB
-- Si votre demande me parvient sur carte perforée, je titiouaillerai très volontiers une réponse... => http://grincheux.de-charybde-en-scylla.fr => http://loubardes.de-charybde-en-scylla.fr
Le Mon, 4 May 2015 18:26:25 +0000 (UTC),
Manuel Bouyer <bouyer@nerim.net> écrivait :
JKB <jkb@koenigsberg.invalid> wrote:
Le Mon, 4 May 2015 06:14:05 +0000 (UTC),
Bruno Ducrot <ducrot@echo.fr> écrivait :
> On 2015-05-03, JKB wrote:
>> Bonjour à tous,
>>
>> J'ai un petit souci avec un serveur/routeur/machine à tout faire
>> NetBSD. En fait, un truc dans la configuration de ipf.conf
>> m'échappe.
>>
>> La configuration est la suivante : machine sparc64 avec l'interface
>> gem0 allant sur internet, tap0 allant sur un VPN et hme? vers les
>> LANs.
>>
> ...
>
>> J'ai donc écrit dans mon /etc/ipf.conf :
>>
>> pass in from any to any
>> pass out from any to any
>> block in on gem0 proto tcp from any to any port = 2222
>> pass in on gem0 proto tcp from rayleigh.systella.fr to any port = 2222
>> pass in on gem0 proto tcp from newton.systella.fr to any port = 2222
>> pass in on hme0 to tap0:192.168.1.1 proto tcp
>> from 192.168.10.250 port = 80 to any
>>
>> Si j'ai bien compris la doc, la dernière règle qui correspond au
>> paquet reçu est celle qui détermine la destinée de ce paquet.J'ai
>> pourtant des tentatives de connexions sur le port 2222 dans mes
>> logs et aucun paquet marqué 'blocked' dans la sortie de ipfstat.
>>
>
> Les règles s'évalue de la première vers la dernière.
Ça, j'ai bien compris.
> La règle correspondante aux paquets que tu désires bloqué est ici
> 'pass in from any to any'. C'est pourquoi ça merdoie.
>
> Il faudrait que tu déplaces les deux règles :
> pass in from any to any
> pass out from any to any
> vers la fin du fichier.
Alors question du matin. Est-ce que l'évaluation s'arrête à la
première règle qui 'matche' ou à la dernière ? Parce que dans la
A la derniere, donc il faut bien mettre le 'pass in from any to any' au debut
(la directive quick permet de s'arreter avant la derniere mais ca n'est pas
utilise ici).
Tu pourrait ajouter 'log' au 'pass in ...' et lancer ipmon pour voir quelle
regle laisser passer les paquets.
Je note. Et je regarde ce qu'il va se passer.
Merci du tuyau.
JKB
--
Si votre demande me parvient sur carte perforée, je titiouaillerai très
volontiers une réponse...
=> http://grincheux.de-charybde-en-scylla.fr
=> http://loubardes.de-charybde-en-scylla.fr
Le Mon, 4 May 2015 18:26:25 +0000 (UTC), Manuel Bouyer écrivait :
JKB wrote:
Le Mon, 4 May 2015 06:14:05 +0000 (UTC), Bruno Ducrot écrivait : > On 2015-05-03, JKB wrote: >> Bonjour à tous, >> >> J'ai un petit souci avec un serveur/routeur/machine à tout faire >> NetBSD. En fait, un truc dans la configuration de ipf.conf >> m'échappe. >> >> La configuration est la suivante : machine sparc64 avec l'interface >> gem0 allant sur internet, tap0 allant sur un VPN et hme? vers les >> LANs. >> > ... > >> J'ai donc écrit dans mon /etc/ipf.conf : >> >> pass in from any to any >> pass out from any to any >> block in on gem0 proto tcp from any to any port = 2222 >> pass in on gem0 proto tcp from rayleigh.systella.fr to any port = 2222 >> pass in on gem0 proto tcp from newton.systella.fr to any port = 2222 >> pass in on hme0 to tap0:192.168.1.1 proto tcp >> from 192.168.10.250 port = 80 to any >> >> Si j'ai bien compris la doc, la dernière règle qui correspond au >> paquet reçu est celle qui détermine la destinée de ce paquet.J'ai >> pourtant des tentatives de connexions sur le port 2222 dans mes >> logs et aucun paquet marqué 'blocked' dans la sortie de ipfstat. >> > > Les règles s'évalue de la première vers la dernière.
Ça, j'ai bien compris.
> La règle correspondante aux paquets que tu désires bloqué est ici > 'pass in from any to any'. C'est pourquoi ça merdoie. > > Il faudrait que tu déplaces les deux règles : > pass in from any to any > pass out from any to any > vers la fin du fichier.
Alors question du matin. Est-ce que l'évaluation s'arrête à la première règle qui 'matche' ou à la dernière ? Parce que dans la
A la derniere, donc il faut bien mettre le 'pass in from any to any' au debut (la directive quick permet de s'arreter avant la derniere mais ca n'est pas utilise ici). Tu pourrait ajouter 'log' au 'pass in ...' et lancer ipmon pour voir quelle regle laisser passer les paquets.
Je note. Et je regarde ce qu'il va se passer.
Merci du tuyau.
JKB
-- Si votre demande me parvient sur carte perforée, je titiouaillerai très volontiers une réponse... => http://grincheux.de-charybde-en-scylla.fr => http://loubardes.de-charybde-en-scylla.fr
