Hello,

je viens de mettre en place packet filter sur un serveur.
Tout marche, sauf un point qui me paraît étrange. Si pf est en marche, les connections SSH seront très lentes.
Je m'explique : si je veux me connecter en SSH sur cette machine, ça prendra environ 30 secondes maintenant !
Quand je fais mon ssh user@machine, le serveur en face met 20 secondes à répondre, plus 10 après après avoir rentré le mot de passe (ou après avoir envoyé la clé publique).

Dès que je désactive pf, ça fonctionne normallement ! J'ai testé depuis plusieurs machine (dont une sur le même datacenter), même constat. J'en déduis donc que ça vient de pf.

Je vous montre mon pf.conf, il doit contenir une erreur. Je me base sur la configuration que donne le handbook de pf sur openbsd.org, ainsi que le fichier pf.conf par défaut sur FreeBSD.

Code:

ext_if="vr0"
set skip on lo0
scrub in all

block in log all

pass in  on lo0 keep state
pass in on $ext_if proto icmp keep state

pass in  on $ext_if proto tcp from any to $ext_if port 22 keep state
pass in  on $ext_if proto tcp from any to $ext_if port 25 keep state

pass in  on $ext_if proto udp from any to $ext_if port 53 keep state

pass in  on $ext_if proto tcp from any to $ext_if port 80 keep state
pass in  on $ext_if proto tcp from any to $ext_if port 143 keep state 

Pour info, je suis sur FreeBSD 6.2, avec le kernel SMP, et les outils OpenSSH par défaut (du système, pas le port). J'ai dû charger le module pf (kldload pf) pour que pf fonctionne.

Voilà pour mes informations. Avez-vous des idées quelconques, ou avez-vous déjà eu ce problème ?

Merci beaucoup !

Nicolas

Juste 2 petites choses :
Code:

pass in  on lo0 keep state 

Ne sert à rien puisque tu as un
Code:

set skip on lo0 

Code:

pass in  on $ext_if proto udp from any to $ext_if port 53 keep state 

T'as un serveur DNS sur ta machine ?

sinon le plus logique serait un
Code:

pass out on $ext_if proto { tcp udp } from $ext_if to any port 53 keep state