[OpenBSD] pf & nat

Le
Bastien Durel
Bonjour,

Je m'arrache les cheveux depuis ce matin sur mon firewall. Pour ue
raison que j'ignore, il refuse de nater :/
Le pire est que ça a marché, mais que ça ne marche plus pour une raison
que je n'ai pas saisie. Pis j'ai pas mal trifouillé depuis, donc
impossible de revenir en arrière.

J'ai réduit le fichier de config à sa plus simple expression :
nat pass log on $dmz_if from $lan to any -> ($dmz_if)

Ce qui donne ceci une fois les macros étendues :

[root@fremen root]# pfctl -s nat
nat pass log on sis0 inet from 10.42.0.0/24 to any -> (sis0) round-robin

Il n'y a pas de filtrage :
[root@fremen root]# pfctl -s rules
scrub in all fragment reassemble

Pourtant, si je ping une machine de la dmz depuis le lan, pas de nat,
les paquets arrivent avec leur adresse d'origine
bastien@arrakeen:~$ sudo tcpdump -vv -i eth1 icmp
tcpdump: listening on eth1, link-type EN10MB (Ethernet), capture size 96
bytes
22:22:11.189603 IP (tos 0x0, ttl 63, id 0, offset 0, flags [DF], proto:
ICMP (1), length: 84) sandworm > arrakeen: ICMP echo request, id 19239,
seq 1, length 64

Les logs quand à eux restent désespérements vides.

J'oublie sans doute un truc, mais quoi ?

Merci,

--
Bastien
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
bsdouille
Le #864772
sysctl net.inet.ip.forwarding: 1
peut etre est-cela :)



bsdouille
Bastien Durel
Le #864592

sysctl net.inet.ip.forwarding: 1
peut etre est-cela :)

bsdouille

Non, il est à 1. S'il était resté à 0, il n'y aurait pas de

communication, même sans NAT. Or là, il route. Juste il ne natte pas, ce
qui est ennuyeux pour aller de 10/8 vers Internet ;)

Merci quand même :)

--
Bastien

Publicité
Poster une réponse
Anonyme