Bonjour,

Je viens d'installer asterisk dans une jail. Je cherche donc a rediriger mes ports sur l'adresse de la jail, afin qu'asterix arrive a communiquer car là ce n'ai pas le cas.

J'ai activé le routage.


Code (]sysctl sysctl net.inet.ip.forwarding
net.inet.ip.forwarding: 1[/code):

Et mes règles [code]nat on em0 from 192.168.2.0/24 to any -> 90.60.52.41 rdr on em0 inet proto tcp from any to em0 port 5060 -> 192.168.2.64 rdr on em0 proto udp from any to any port {5060, 9999 >< 20001} -> 192.168.2.64

Le problème viens quand je reload PF

[code]Reloading pf rules.
/usr/local/etc/pf.conf:37: Rules must be in order: options, normalization, queueing, translation, filtering
/usr/local/etc/pf.conf:38: Rules must be in order: options, normalization, queueing, translation, filtering
/usr/local/etc/pf.conf:39: Rules must be in order: options, normalization, queueing, translation, filtering
[/code]

J'ai beau me taper la doc, surfer à droite et à gauche, je ne comprend pas le problème.

J'ai pas d'erreur de syntaxe, il me l'aurais dit, c'est comme si PF ne connaissais pas les options que je lui demande :(

Je tourne sous FreeBSD 7, merci.

pfctl(8) se plaint de l'organisation globale de ton pf.conf (sorti de pf.conf(5)):

Quote:

With the exception of macros and tables, the types of statements should be grouped and appear in pf.conf in the order shown above, as this matches the operation of the underlying packet filtering engine. By default pfctl(8) enforces this order (see set require-order below).

(je pense…)

Bonsoir,
Je ne comprends pas pourquoi il faut faire de l'ip forwarding sur une IP qui est sur le même machine !!!
J'ai une dedibox qui abrite 3 jails ayant chacun des serveurs http, ftp, ...
Chaque jail ayant son IP privée il n'y a aucun problème.

Il faut quand même vérifier que le host n'écoute pas sur les mêmes ports et sur toutes les IP(s)  - comme c'est le cas pour sshd par défaut. Si c'est le cas le host prends la main et le jail n'ait jamais accessible.

Je vais revoir son organtion alors.

Alors oui, ssh j'ai bien préciser sur qu'elle ip écouter, mais ssh est coupé par sécu. Le serveur est derrière une freebox qui est en mode routeur.

Je redirige les ports que j'ai besoin sur l'ip de la jail et non pas sur l'ip du host.

Donc si j'ai bien compris, j'ai pas de nat a mettre en place. Ben je ne comprend pas pourquoi asterisk ne communique pas avec l'extérieur. Je vais creuser. Merci.

Si je met ces regles là sa suffit ou pas?
[code]pass in on em0 inet proto tcp from any to any port 5060 flags S/SA keep state
pass in on em0 inet proto udp from any to any port {5060, 9999 >< 20001} keep state[/code]

N'oublies pas que netstat et tcpdump sont tes amis  ::)

et aussi que pf à une option log, voir plein de truc de debug qui sont super utiles pour analyser ce genre de problèmes

http://www.openbsd.org/faq/pf/

Tu peux aussi lire pour te détendre :
http://www.rubico.info/docs/jails-freebsd/jails-freebsd.pdf
et
http://www.diablotins.org/index.php/Jail_FreeBSD << Il y a là un cas _PRATIQUE_ de mise en réseau des jails !

Ah oui, j'oubliais, RTFM bien sur.

Bonsoir,
Moi je ferais un essai sans pf (ni ip-forawarding) puis je lancerais un "nessus" sur la machine (sur chaque ip) pour voir si il y a des trous.
En principe FreeBSD se comporte très bien (à condition de suivre les vulnérabilités au jour le jour)

Sa y est  sa fonctionne. En fait le problème venais de chez Free. Le serveur sip était down.

En effet y'a pas besoin d'une configuration spécial pour que la jail est accès.

Autre question, toujours sur PF, comment je veut traduire cette reglèe iptables pour PF?

[code]iptables -A INPUT -p udp -m udp --dport 5060 -m string --string "Cirpack KeepAlive Packet" --algo bm --to 65535 --source sip.ovh.net -j DROP[/code]