Bonjour,
j'utilise Freebsd depuis quelque temps déjà et j'en suis vraiment heureux.
Je voudrais rediriger un port d'écoute du serveur BSD qui me sert de passerelle/firewall vers un pc en local.
mais je ne sais pas quoi mettre comme règle dans PF.

Le port est le 3389 et l'ip physique locale est 192.168.0.100
Comment faire ?

Merci de votre aide
@ bientôt

Tu peux utiliser une directive 'rdr' (cf. pf.conf(5) en particulier "Translation examples").

fgudin wrote on 21. Sep 2007 at 17:53:

Tu peux utiliser une directive 'rdr' (cf. pf.conf(5) en particulier "Translation examples").

Merci pour ton attention mais il me met une erreur lorsque je fais ça:

rdr on $ext_if proto tcp from any to any port 3389 -> 192.168.0.100 port 3389

[edit] mea culpa, j'ai mi un O au lieu d'un 0

mais ça ne marche pas
la redirection ne fonctionne pas

j'ai du faire un truc qui ne va pas.

Qu'est-ce qui te fait dire que ça ne fonctionne pas ?: quels tests ? Ton firewall est bien dans un état correct (correctement flushé/reloadé la configuration) ?

Sinon, pour débugger, tu peux jouer avec pfctl(8) -s... ou, encore mieux, mettre un peu de loggage dans ton pf.conf (cf. pflogd(8) pour l'utilisation, car le log doit être utilisé avec tcpdump(1)).

Si tu veux poster ton jeu de règles ici, pense éventuellement à brouiller un peu ce qui pourrait être sensible (en remplacant les IP par d'autres, de façon uniforme, s'entend, sinon on risque d'avoir encore plus de mal pour y voir clair :-))

fgudin wrote on 21. Sep 2007 at 18:48:

Qu'est-ce qui te fait dire que ça ne fonctionne pas ?: quels tests ? Ton firewall est bien dans un état correct (correctement flushé/reloadé la configuration) ? Sinon, pour débugger, tu peux jouer avec pfctl(8) -s... ou, encore mieux, mettre un peu de loggage dans ton pf.conf (cf. pflogd(8) pour l'utilisation, car le log doit être utilisé avec tcpdump(1)). Si tu veux poster ton jeu de règles ici, pense éventuellement à brouiller un peu ce qui pourrait être sensible (en remplacant les IP par d'autres, de façon uniforme, s'entend, sinon on risque d'avoir encore plus de mal pour y voir clair :-))

Ben voilà je vais essayer d'expliquer clairement la situation.

J'utilise bsd comme paserrelle/router dans un réseau qui compte plus ou moins 100 pc linux,mac et windows.
On utilise un contrôleur de domaine (Windows server 2003 R2) et les utlisateurs sont géré via active directory.
Ce serveur a comme ip interne 192.168.0.100

Pour diverse raison je dois m'absenter et je dois gérer le contrôleur de domaine par l'extérieur..bah oui.
J'utilise pour ça Remote Desktop ou Connexion à distance si tu veux et via une interface graphique j'accède au bureau du serveur 2003.

Mais voilà par le réseau ça marche à merveille mais par l'extérieur je suis bloqué au niveau du pare-feu, je le sais car j'ai fais un test via un pc de l'extérieur et un nmap via un serveur externe pour m'afficher l'état de mes ports.

Aucune connexion ne se fait via remote desktop et le scan de port ne m'affiche aucun port 3389 ouvert.

Il me semble que ta règle rdr devrait porter sur ext_if plutôt:
[code]rdr on $ext_if inet proto tcp from any to ($ext_if) port 3389 -> 192.168.0.100[/code]
Au passage: question sécurité, je ne sais pas ce que vaut rdesktop. J'aurais tendance à faire une ouverture pour SSH puis à transporter le flux rdesktop dans un tunnel, d'autant plus que ça permet d'utiliser d'autres mécanismes de sécurité (pub key, white list sur la source de la connexion - que tu pourrais d'ailleurs utiliser également au niveau du filtrage réseau)

fgudin wrote on 21. Sep 2007 at 20:51:

Il me semble que ta règle rdr devrait porter sur ext_if plutôt: [code]rdr on $ext_if inet proto tcp from any to ($ext_if) port 3389 -> 192.168.0.100[/code] Au passage: question sécurité, je ne sais pas ce que vaut rdesktop. J'aurais tendance à faire une ouverture pour SSH puis à transporter le flux rdesktop dans un tunnel, d'autant plus que ça permet d'utiliser d'autres mécanismes de sécurité (pub key, white list sur la source de la connexion - que tu pourrais d'ailleurs utiliser également au niveau du filtrage réseau)

Merci pour la correction ;)
Ton idée de tunneling via ssh m'intéresse.
Comment indiquer a PF que l'on veut faire du tunneling ?

ça marche.

Merci pour tout.
Je vais faire des recherche pour le tunneling via ssh.

@ bientôt

Pas de complication côté FW, tout se fait dans SSH:

• à la place de l'ouverture de flux rdesktop, tu fais un 'rdr' vers une machine qui va te servir de point d'accès:
  
  Code (]rdr on $ext_if inet proto tcp from chez_toi to ($ext_if) port ssh -> ton_point_d_entree[/code):
  

  chez toi: [code]ssh -L 3389:192.168.0.100:3389 ext_if_du_firewall

  
  
• après ça, tu lances ton client RDesktop en le faisant pointer localement:
  [code]rdesktop 127.0.0.1...[/code]

Si j'ai bien compris l'astuce...

le chez_toi correspond à mon lan.
le ton_point_d_entree correspond au point d'accès.
et le rdesktop 127.0.0.1 c'est la connexion via le point d'accès vers le serveur ?

'chez_toi': l'IP publique que te donne ton ISP (à ton domicile), si elle est statique; sinon, remplace simplement par "any" (c'est une sécurité facultative)
'ton_point_d_entree': ton poste de travail ou une autre machine sur laquelle tu puisses te logger en SSH et qui pourra accéder au OuinOuin en RDesktop
'ton_appli_cliente_rdesktop 127.0.0.1' sera lancée depuis ta machine perso après avoir monté la connexion et le tunnel SSH (ce dernier se mettra en place dès l'authentification réussie, c'est le rôle du paramètre "-L 3389:192.168.0.100:3389")

fgudin wrote on 21. Sep 2007 at 22:05:

'chez_toi': l'IP publique que te donne ton ISP (à ton domicile), si elle est statique; sinon, remplace simplement par "any" (c'est une sécurité facultative) 'ton_point_d_entree': ton poste de travail ou une autre machine sur laquelle tu puisses te logger en SSH et qui pourra accéder au OuinOuin en RDesktop 'ton_appli_cliente_rdesktop 127.0.0.1' sera lancée depuis ta machine perso après avoir monté la connexion et le tunnel SSH (ce dernier se mettra en place dès l'authentification réussie, c'est le rôle du paramètre "-L 3389:192.168.0.100:3389")

Bien compris ;)
Et pour le paramètre ext_if_du_firewall je dois mettre une ip ? ou une interface ?
Si c'est l'ip externe du firewall, elle est dynamique et ça pourrais poser problème.

Dans tous les cas merci.

dexinou wrote on 22. Sep 2007 at 07:19:

Si c'est l'ip externe du firewall, elle est dynamique et ça pourrais poser problème.

Quelques idées: la plus logique, coller un nom de domaine à ton firewall (dyndns.org). Sinon, tu peux (en mode bricole infâme) te mailer l'IP publique du FW lorsqu'elle change (exercice au bon soin du lecteur).
Et peut-être le mieux: trouver un vrai IAP qui te fournisse une IP fixe, au moins (surtout pour un accès d'entreprise). Quelques-uns le font gratuitement, sans même avoir à dire "s'il vous plait"...