Forums FUG-FR
https://forums.fug-fr.org/cgi-bin/yabb2/YaBB.pl
FreeBSD >> Réseau et sécurité >> PF et SSH
https://forums.fug-fr.org/cgi-bin/yabb2/YaBB.pl?num=1190757018
Message started by Elrohir on 25. Sep 2007 at 23:50

Title: PF et SSH
Post by Elrohir on 25. Sep 2007 at 23:50
Hello,

je viens de mettre en place packet filter sur un serveur.
Tout marche, sauf un point qui me paraît étrange. Si pf est en marche, les connections SSH seront très lentes.
Je m'explique : si je veux me connecter en SSH sur cette machine, ça prendra environ 30 secondes maintenant !
Quand je fais mon ssh user@machine, le serveur en face met 20 secondes à répondre, plus 10 après après avoir rentré le mot de passe (ou après avoir envoyé la clé publique).

Dès que je désactive pf, ça fonctionne normallement ! J'ai testé depuis plusieurs machine (dont une sur le même datacenter), même constat. J'en déduis donc que ça vient de pf.

Je vous montre mon pf.conf, il doit contenir une erreur. Je me base sur la configuration que donne le handbook de pf sur openbsd.org, ainsi que le fichier pf.conf par défaut sur FreeBSD.

[code]ext_if="vr0"
set skip on lo0
scrub in all

block in log all

pass in  on lo0 keep state
pass in on $ext_if proto icmp keep state

pass in  on $ext_if proto tcp from any to $ext_if port 22 keep state
pass in  on $ext_if proto tcp from any to $ext_if port 25 keep state

pass in  on $ext_if proto udp from any to $ext_if port 53 keep state

pass in  on $ext_if proto tcp from any to $ext_if port 80 keep state
pass in  on $ext_if proto tcp from any to $ext_if port 143 keep state[/code]


Pour info, je suis sur FreeBSD 6.2, avec le kernel SMP, et les outils OpenSSH par défaut (du système, pas le port). J'ai dû charger le module pf (kldload pf) pour que pf fonctionne.

Voilà pour mes informations. Avez-vous des idées quelconques, ou avez-vous déjà eu ce problème ?

Merci beaucoup !

Nicolas

Title: Re: PF et SSH
Post by Elrohir on 26. Sep 2007 at 10:12
Bon, le problème est réglé. Pour soit, deux solutions :
- soit on autorise les requêtes DNS entrantes en TCP (et pas que UDP).
- soit on passe à no la valeur UseDNS du serveur SSH.


Voilà :-)

Title: Re: PF et SSH
Post by Lenine on 26. Sep 2007 at 11:28
Juste 2 petites choses :

Code (]pass in  on lo0 keep state[/code):
Ne sert à rien puisque tu as un
[code]set skip on lo0



Code (]pass in  on $ext_if proto udp from any to $ext_if port 53 keep state[/code):
T'as un serveur DNS sur ta machine ?

sinon le plus logique serait un
[code]pass out on $ext_if proto { tcp udp } from $ext_if to any port 53 keep state

Title: Re: PF et SSH
Post by Elrohir on 26. Sep 2007 at 11:30
Tu vas pas me croire, mais figure toi que je viens d'apporter exactement ces informations. Je viens de bien relire mon /etc/pf.conf :)

Forums FUG-FR » Powered by YaBB 2.5.2!
YaBB Forum Software © 2000-2026. All Rights Reserved.