Welcome, Guest. Please Login
 FUG-FR logo
 
 
  HomeHelpSearchLogin  
 
  Forums FUG-FRFreeBSDRéseau et sécurité › Pf et redirection
Previous Topic | Next Topic
Page Index Toggle Pages: 1
Pf et redirection (Read 4496 times)
Horde
YaBB Newbies
*
Offline


I Love BSD!

Posts: 15
Pf et redirection
12. Nov 2008 at 18:45  
Bonjour,

Je viens d'installer asterisk dans une jail. Je cherche donc a rediriger mes ports sur l'adresse de la jail, afin qu'asterix arrive a communiquer car là ce n'ai pas le cas.

J'ai activé le routage.

Code:
sysctl sysctl net.inet.ip.forwarding
net.inet.ip.forwarding: 1


Et mes règles

Code:
nat on em0 from 192.168.2.0/24 to any -> 90.60.52.41
rdr on em0 inet proto tcp from any to em0 port 5060 -> 192.168.2.64
rdr on em0 proto udp from any to any port {5060, 9999 >< 20001} -> 192.168.2.64


Le problème viens quand je reload PF

Code:
Reloading pf rules.
/usr/local/etc/pf.conf:37: Rules must be in order: options, normalization, queueing, translation, filtering
/usr/local/etc/pf.conf:38: Rules must be in order: options, normalization, queueing, translation, filtering
/usr/local/etc/pf.conf:39: Rules must be in order: options, normalization, queueing, translation, filtering


J'ai beau me taper la doc, surfer à droite et à gauche, je ne comprend pas le problème.

J'ai pas d'erreur de syntaxe, il me l'aurais dit, c'est comme si PF ne connaissais pas les options que je lui demande Sad

Je tourne sous FreeBSD 7, merci.
Back to top
 
 
IP Logged
 
fgudin
Global Moderator
*****
Offline


PouetPouetBSD roul3z

Posts: 1552
Thonon (74)
Gender: male
Re: Pf et redirection
Reply #1 - 12. Nov 2008 at 19:05  
pfctl(8) se plaint de l'organisation globale de ton pf.conf (sorti de pf.conf(5)):
Quote:
With the exception of macros and tables, the types of statements should be grouped and appear in pf.conf in the order shown above, as this matches the operation of the underlying packet filtering engine. By default pfctl(8) enforces this order (see set require-order below).

(je pense…)
Back to top
 
 
IP Logged
 
Michel
Senior Member
****
Offline


I Love YaBB 2!

Posts: 253
Toulouse
Gender: male
Re: Pf et redirection
Reply #2 - 12. Nov 2008 at 19:21  
Bonsoir,
Je ne comprends pas pourquoi il faut faire de l'ip forwarding sur une IP qui est sur le même machine !!!
J'ai une dedibox qui abrite 3 jails ayant chacun des serveurs http, ftp, ...
Chaque jail ayant son IP privée il n'y a aucun problème.

Il faut quand même vérifier que le host n'écoute pas sur les mêmes ports et sur toutes les IP(s)  - comme c'est le cas pour sshd par défaut. Si c'est le cas le host prends la main et le jail n'ait jamais accessible.
Back to top
 
 
IP Logged
 
Horde
YaBB Newbies
*
Offline


I Love BSD!

Posts: 15
Re: Pf et redirection
Reply #3 - 13. Nov 2008 at 13:29  
Je vais revoir son organtion alors.

Alors oui, ssh j'ai bien préciser sur qu'elle ip écouter, mais ssh est coupé par sécu. Le serveur est derrière une freebox qui est en mode routeur.

Je redirige les ports que j'ai besoin sur l'ip de la jail et non pas sur l'ip du host.

Donc si j'ai bien compris, j'ai pas de nat a mettre en place. Ben je ne comprend pas pourquoi asterisk ne communique pas avec l'extérieur. Je vais creuser. Merci.

Si je met ces regles là sa suffit ou pas?
Code:
pass in on em0 inet proto tcp from any to any port 5060 flags S/SA keep state
pass in on em0 inet proto udp from any to any port {5060, 9999 >< 20001} keep state

Back to top
« Last Edit: 13. Nov 2008 at 13:36 by Horde »  
 
IP Logged
 
ros
Global Moderator
*****
Offline



Posts: 868
Paris
Gender: male
Re: Pf et redirection
Reply #4 - 13. Nov 2008 at 18:11  
N'oublies pas que netstat et tcpdump sont tes amis  Roll Eyes

et aussi que pf à une option log, voir plein de truc de debug qui sont super utiles pour analyser ce genre de problèmes

http://www.openbsd.org/faq/pf/

Tu peux aussi lire pour te détendre :
http://www.rubico.info/docs/jails-freebsd/jails-freebsd.pdf
et
http://www.diablotins.org/index.php/Jail_FreeBSD << Il y a là un cas _PRATIQUE_ de mise en réseau des jails !

Ah oui, j'oubliais, RTFM bien sur.
Back to top
 
" Il vaut mieux mobiliser son intelligence sur des conneries que mobiliser sa connerie sur des choses intelligentes "
WWW WWW elfato_99  
IP Logged
 
Michel
Senior Member
****
Offline


I Love YaBB 2!

Posts: 253
Toulouse
Gender: male
Re: Pf et redirection
Reply #5 - 14. Nov 2008 at 19:36  
Bonsoir,
Moi je ferais un essai sans pf (ni ip-forawarding) puis je lancerais un "nessus" sur la machine (sur chaque ip) pour voir si il y a des trous.
En principe FreeBSD se comporte très bien (à condition de suivre les vulnérabilités au jour le jour)
Back to top
 
 
IP Logged
 
Horde
YaBB Newbies
*
Offline


I Love BSD!

Posts: 15
Re: Pf et redirection
Reply #6 - 16. Nov 2008 at 13:37  
Sa y est  sa fonctionne. En fait le problème venais de chez Free. Le serveur sip était down.

En effet y'a pas besoin d'une configuration spécial pour que la jail est accès.

Autre question, toujours sur PF, comment je veut traduire cette reglèe iptables pour PF?

Code:
iptables -A INPUT -p udp -m udp --dport 5060 -m string --string "Cirpack KeepAlive Packet" --algo bm --to 65535 --source sip.ovh.net -j DROP
Back to top
 
 
IP Logged
 
Page Index Toggle Pages: 1
Previous Topic | Next Topic
 
  « Home ‹ Board Top of this page

Forums FUG-FR » Powered by YaBB 2.5.2!
YaBB Forum Software © 2000-2026. All Rights Reserved.

Valid RSS Valid XHTML Valid CSS Powered by Perl Source Forge