Bonsoir,

Je viens de mettre packet filter sur ma FreeBSD. Tout fonctionne bien sauf freebox TV.

Ma configuration rΘseau est :

Freebox (mode routeur activΘ) - switch + 2 pc (un sur Windows XP l'autre sur FreeBSD)

J'ai dΘjα vu sur internet quelques posts parlant eux aussi d'echecs... et ce [url="http://blog.sietch-tabr.com/index.php/post/2006/05/22/125-regles-pf-openbsd-pour...[/url] mais sans succes (sauf boulette de ma part...)

Savez vous comment faire ?

Voici mon pf.conf tirΘ de la documentation (sans ajout de test pour freeplayer)

Code:

ext_if  = "vr1"
int_if  = "dc0"
lan_net = "192.168.0.0/24"

# Déclaration du tableau référençant toutes les adresses IP affectées au
# pare-feu.
table <firewall> const { self }

# Ne pas filtrer sur l'interface de bouclage
set skip on lo0

# Normalisation de tous les paquets entrants.
scrub in all



# Mise en place d'une politique d'interdiction par défaut.
block all

# Activation de la protection contre l'usurpation sur toutes les
# interfaces.
block in quick from urpf-failed

# Autoriser le trafic sortant et entrant sur le réseau local.
# ces règles créeront des entrées au niveau de la table d'état étant
# donné que le mot-clé "keep state" est automatiquement appliqué.
pass in  on $int_if from $lan_net to any
pass out on $int_if from any to $lan_net

# Autoriser les connexions sortantes tcp, udp et icmp sur l'interface
# externe.
# les connexions tcp seront modulées, et udp/icmp auront un suivi
# d'état.
pass out on $ext_if proto { tcp udp icmp } all modulate state

# Journaliser le paquet qui initie la session afin de pouvoir déterminer qui s'est

# connecté.
pass in log on $ext_if proto tcp from any to ! <firewall>
 

Merci.

Bonjour, je viens de trouver la solution sur unixgarden.

J'ai modifie avec ce que j'avais déjà pour arriver à ça :

Code:

ext_if  = "vr1"
int_if  = "dc0"
lan_net = "192.168.0.0/24"


# Déclaration des ports à ne pas logguer
# (5900 est le port utilisé par VNC)
ports_not_logged = "{ netbios-ssn, microsoft-ds, \
    epmap, ms-sql-s, 5900}"


# Déclaration du tableau référençant toutes les adresses IP affectées au
# pare-feu.
table <firewall> const { self }


# Ne pas filtrer sur l'interface de bouclage
set skip on lo0

# Normalisation de tous les paquets entrants.
scrub in all


# Redirection freeplayer
rdr pass on $ext_if proto udp from 212.27.38.253 -> 192.168.0.1

# Petite nouveauté, on active l'antispoofing sur l'interface
# externe : cette règle bloquera les paquets venant de
# l'extérieur essayant d'utiliser frauduleusement notre
# adresse pour passer à travers le filtre.
antispoof for $int_if


# Mise en place d'une politique d'interdiction par défaut.
block in on $int_if
# On n'a pas envie de remplir nos logs en 5 minutes avec les
# quelques vers bien connus qui trainent sur internet
# donc on bloque certains paquets sans les logguer.
block in on $int_if inet proto tcp from any to any \
    port $ports_not_logged


# Activation de la protection contre l'usurpation sur toutes les
# interfaces.
block in quick from urpf-failed


# Autoriser le trafic sortant et entrant sur le réseau local.
# ces règles créeront des entrées au niveau de la table d'état étant
# donné que le mot-clé "keep state" est automatiquement appliqué.
pass in  on $int_if from $lan_net to any
pass out on $int_if from any to $lan_net

pass out on $ext_if inet proto tcp all flags S/SA keep state
pass out on $ext_if inet proto { udp, icmp } all keep state

# Autoriser les connexions sortantes tcp, udp et icmp sur l'interface
# externe.
# les connexions tcp seront modulées, et udp/icmp auront un suivi
# d'état.
pass out on $ext_if proto { tcp udp icmp } all modulate state

# Log
pass in log on $ext_if proto tcp from any to ! <firewall>
 

Etant loin d'avoir forcement tout compris de ce que j'ai fait, je ne sais pas si niveau sécurité c'est bon (d'après http://www.grc.com/x/ne.dll?rh1dkyd2 c'est ok)


ros wrote on 10. Jan 2009 at 11:16:


Oui oui ça marche sans PF.