[PacketFilter] filtrage des adresses de broadcast ?
2 réponses
Patrick Lamaizière
Bonsoir,
Je traduis des règles de Cisco IOS vers Packet Filter sous OpenBSD et
dans les règles (en entrées et en sortie) j'ai des filtres sur les
adresses qui finissent en 255 :
deny ip any 0.0.0.255 255.255.255.0
À priori y'a pas moyen de convertir ça en une règle PF.
En entrée je peux ajouter des règles pour les réseaux qu'on gère mais en
sortie ça me semble difficile.
D'autre part, OpenBSD (si j'ai bien compris) ne route pas les adresses
de broadcast mais est-ce que ça inclu toutes les adresses qui finissent
en .255 ?
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Pascal Hambourg
Salut,
Patrick Lamaizière a écrit :
Bonsoir,
Je traduis des règles de Cisco IOS vers Packet Filter sous OpenBSD et dans les règles (en entrées et en sortie) j'ai des filtres sur les adresses qui finissent en 255 :
deny ip any 0.0.0.255 255.255.255.0
[...]
D'autre part, OpenBSD (si j'ai bien compris) ne route pas les adresses de broadcast mais est-ce que ça inclu toutes les adresses qui finissent en .255 ?
Ben non. Toute adresse en .255 n'est pas une adresse de broadcast et vice versa. Donc à moins que ce routeur soit dans un réseau privé non connecté à l'internet public et dont tous les sous-réseaux IP sont des /24, cela me semble être une erreur.
Salut,
Patrick Lamaizière a écrit :
Bonsoir,
Je traduis des règles de Cisco IOS vers Packet Filter sous OpenBSD et
dans les règles (en entrées et en sortie) j'ai des filtres sur les
adresses qui finissent en 255 :
deny ip any 0.0.0.255 255.255.255.0
[...]
D'autre part, OpenBSD (si j'ai bien compris) ne route pas les adresses
de broadcast mais est-ce que ça inclu toutes les adresses qui finissent
en .255 ?
Ben non. Toute adresse en .255 n'est pas une adresse de broadcast et
vice versa. Donc à moins que ce routeur soit dans un réseau privé non
connecté à l'internet public et dont tous les sous-réseaux IP sont des
/24, cela me semble être une erreur.
Je traduis des règles de Cisco IOS vers Packet Filter sous OpenBSD et dans les règles (en entrées et en sortie) j'ai des filtres sur les adresses qui finissent en 255 :
deny ip any 0.0.0.255 255.255.255.0
[...]
D'autre part, OpenBSD (si j'ai bien compris) ne route pas les adresses de broadcast mais est-ce que ça inclu toutes les adresses qui finissent en .255 ?
Ben non. Toute adresse en .255 n'est pas une adresse de broadcast et vice versa. Donc à moins que ce routeur soit dans un réseau privé non connecté à l'internet public et dont tous les sous-réseaux IP sont des /24, cela me semble être une erreur.
Patrick Lamaizière
Pascal Hambourg :
deny ip any 0.0.0.255 255.255.255.0
[...]
D'autre part, OpenBSD (si j'ai bien compris) ne route pas les adresses de broadcast mais est-ce que ça inclu toutes les adresses qui finissent en .255 ?
Ben non. Toute adresse en .255 n'est pas une adresse de broadcast et vice versa. Donc à moins que ce routeur soit dans un réseau privé non connecté à l'internet public et dont tous les sous-réseaux IP sont des /24, cela me semble être une erreur.
Je suis assez d'accord ça n'a pas vraiment de sens. Mais on me demande de filtrer en entrée (on a surtout que des /24).
Pascal Hambourg :
deny ip any 0.0.0.255 255.255.255.0
[...]
D'autre part, OpenBSD (si j'ai bien compris) ne route pas les adresses
de broadcast mais est-ce que ça inclu toutes les adresses qui finissent
en .255 ?
Ben non. Toute adresse en .255 n'est pas une adresse de broadcast et
vice versa. Donc à moins que ce routeur soit dans un réseau privé non
connecté à l'internet public et dont tous les sous-réseaux IP sont des
/24, cela me semble être une erreur.
Je suis assez d'accord ça n'a pas vraiment de sens. Mais on me demande
de filtrer en entrée (on a surtout que des /24).
D'autre part, OpenBSD (si j'ai bien compris) ne route pas les adresses de broadcast mais est-ce que ça inclu toutes les adresses qui finissent en .255 ?
Ben non. Toute adresse en .255 n'est pas une adresse de broadcast et vice versa. Donc à moins que ce routeur soit dans un réseau privé non connecté à l'internet public et dont tous les sous-réseaux IP sont des /24, cela me semble être une erreur.
Je suis assez d'accord ça n'a pas vraiment de sens. Mais on me demande de filtrer en entrée (on a surtout que des /24).