Hello,
je viens de mettre en place packet filter sur un serveur.
Tout marche, sauf un point qui me paraît étrange. Si pf est en marche, les connections SSH seront très lentes.
Je m'explique : si je veux me connecter en SSH sur cette machine, ça prendra environ 30 secondes maintenant !
Quand je fais mon ssh user@machine, le serveur en face met 20 secondes à répondre, plus 10 après après avoir rentré le mot de passe (ou après avoir envoyé la clé publique).
Dès que je désactive pf, ça fonctionne normallement ! J'ai testé depuis plusieurs machine (dont une sur le même datacenter), même constat. J'en déduis donc que ça vient de pf.
Je vous montre mon pf.conf, il doit contenir une erreur. Je me base sur la configuration que donne le handbook de pf sur openbsd.org, ainsi que le fichier pf.conf par défaut sur FreeBSD.
Code:ext_if="vr0"
set skip on lo0
scrub in all
block in log all
pass in on lo0 keep state
pass in on $ext_if proto icmp keep state
pass in on $ext_if proto tcp from any to $ext_if port 22 keep state
pass in on $ext_if proto tcp from any to $ext_if port 25 keep state
pass in on $ext_if proto udp from any to $ext_if port 53 keep state
pass in on $ext_if proto tcp from any to $ext_if port 80 keep state
pass in on $ext_if proto tcp from any to $ext_if port 143 keep state
Pour info, je suis sur FreeBSD 6.2, avec le kernel SMP, et les outils OpenSSH par défaut (du système, pas le port). J'ai dû charger le module pf (kldload pf) pour que pf fonctionne.
Voilà pour mes informations. Avez-vous des idées quelconques, ou avez-vous déjà eu ce problème ?
Merci beaucoup !
Nicolas