OpenBSD : pf.conf - pflogd - tcpdump

frenchviking · 16/10/2009, 11h15

Bonjour,

J'ai un PF configuré pour logger les paquets TCP FTP avec un statut SYN/ACK. Le logging se fait via l'interface pflog0 et dans le fichier pflog0.

J'aimerais retrouver facilement les lignes correspondantes à ma règle via tcpdump. Pour cela il est possible d'utiliser deux options dans pflogd et tcpdump

ruleset et rulenum a utiliser de la manière suivante :

pflogd -f [file] rule tcp -> pour une règle nommée tcp
pflogd -f [file] rule 15 -> pour une règle numérotée 15

avec tcpdump on filtre le fichier pflog de la manière suivante :

tcpdump -r [file] ruleset [ruleset]
tcpdump -r |file] rulenum [rulenum]

Soucis :
dans le pf.conf, j'ai plusieurs options possible afin de marquer ma ligne de filtrage
tag [string]
tagged [string]
label [string]

pflog et tcpdump on la même grammaire mais pas pf.conf. Quel option dois-je utiliser dans pf.conf?

Merci d'avance

julp · 16/10/2009, 12h08

C'est label pour nommer ses règles.

tag et tagged sont relatifs au marquage des paquets.

frenchviking · 16/10/2009, 15h09

Bonjour,

Merci de ta réponse.

Cela ne fonctionne cependant toujours pas.
mon pflogd est bien lancé et log sur l'interface pflog0 et dans le fichier dédié pfftp

_pflogd 4571 0.0 0.0 484 292 ?? S 3:02PM 0:00.00 pflogd: [running] -s 116 -i pflog0 -f /var/log/pfftp (pflogd)

une autre instance de pflogd est lancée, celle par défaut ou tout le reste est loggé

_pflogd 16405 0.0 0.0 596 328 ?? S Wed04PM 0:02.47 pflogd: [running] -s 116 -i pflog0 -f /var/log/pflog (pflogd)

Ma règle pf.conf :

pass in log (all) on $ext_if proto tcp from any port 21 label pfftp #flags S/SA

Ma commande tcpdump :

tcpdump -ttt -e -r pfftp ruleset pfftp

Pour tester je tente une connexion en FTP sur le firewall, qui n'a pas de serveur FTP. Je devrais au moins avoir un log d'une tentative de connexion (non?)

Mon fichier reste désespérément vide.

Help!

julp · 16/10/2009, 16h08

Si votre machine est destinée à être le serveur, même si c'est "simulé", le port 21 est le port de destination (serveur) et non source (client) :

Code X :

Sélectionner tout - Visualiser dans une fenêtre à part

pass in log (all) on $ext_if proto tcp from any to $ext_if port ftp label pfftp #flags S/SA

frenchviking · 16/10/2009, 16h58

En fait la machine ou est installé le pare-feu fait office de proxy ftp. Ce que je souhaite donc c'est logger toutes les connexions réussites sur les serveurs FTP derrière le pf.

Sinon même avec la modification, je n'ai toujours rien dans mon fichier de log pfftp.

16/10/2009, 11h15	#1
frenchviking Invité de passage Inscription : octobre 2009 Messages : 6 Détails du profil Informations forums : Inscription : octobre 2009 Messages : 6 Points : 0 Points : 0	OpenBSD : pf.conf - pflogd - tcpdump Bonjour, J'ai un PF configuré pour logger les paquets TCP FTP avec un statut SYN/ACK. Le logging se fait via l'interface pflog0 et dans le fichier pflog0. J'aimerais retrouver facilement les lignes correspondantes à ma règle via tcpdump. Pour cela il est possible d'utiliser deux options dans pflogd et tcpdump ruleset et rulenum a utiliser de la manière suivante : pflogd -f [file] rule tcp -> pour une règle nommée tcp pflogd -f [file] rule 15 -> pour une règle numérotée 15 avec tcpdump on filtre le fichier pflog de la manière suivante : tcpdump -r [file] ruleset [ruleset] tcpdump -r \|file] rulenum [rulenum] Soucis : dans le pf.conf, j'ai plusieurs options possible afin de marquer ma ligne de filtrage tag [string] tagged [string] label [string] pflog et tcpdump on la même grammaire mais pas pf.conf. Quel option dois-je utiliser dans pf.conf? Merci d'avance
	00

16/10/2009, 12h08	#2
julp Expert Confirmé Sénior Inscription : juin 2002 Messages : 6 164 Détails du profil Informations forums : Inscription : juin 2002 Messages : 6 164 Points : 6 404 Points : 6 404	C'est label pour nommer ses règles. tag et tagged sont relatifs au marquage des paquets. __________________ Posez vos questions techniques sur le forum, pas en privé (je n'y répondrai pas). [Général] "Ça ne marche pas" n'est pas une réponse acceptable. [PHP] Développez avec error_reporting à E_ALL (minimum).
	00

16/10/2009, 16h08	#4
julp Expert Confirmé Sénior Inscription : juin 2002 Messages : 6 164 Détails du profil Informations forums : Inscription : juin 2002 Messages : 6 164 Points : 6 404 Points : 6 404	Si votre machine est destinée à être le serveur, même si c'est "simulé", le port 21 est le port de destination (serveur) et non source (client) : Code X : Sélectionner tout - Visualiser dans une fenêtre à part pass in log (all) on $ext_if proto tcp from any to $ext_if port ftp label pfftp #flags S/SA __________________ Posez vos questions techniques sur le forum, pas en privé (je n'y répondrai pas). [Général] "Ça ne marche pas" n'est pas une réponse acceptable. [PHP] Développez avec error_reporting à E_ALL (minimum).
	00

16/10/2009, 15h09	#3
frenchviking Invité de passage Inscription : octobre 2009 Messages : 6 Détails du profil Informations forums : Inscription : octobre 2009 Messages : 6 Points : 0 Points : 0	Bonjour, Merci de ta réponse. Cela ne fonctionne cependant toujours pas. mon pflogd est bien lancé et log sur l'interface pflog0 et dans le fichier dédié pfftp _pflogd 4571 0.0 0.0 484 292 ?? S 3:02PM 0:00.00 pflogd: [running] -s 116 -i pflog0 -f /var/log/pfftp (pflogd) une autre instance de pflogd est lancée, celle par défaut ou tout le reste est loggé _pflogd 16405 0.0 0.0 596 328 ?? S Wed04PM 0:02.47 pflogd: [running] -s 116 -i pflog0 -f /var/log/pflog (pflogd) Ma règle pf.conf : pass in log (all) on $ext_if proto tcp from any port 21 label pfftp #flags S/SA Ma commande tcpdump : tcpdump -ttt -e -r pfftp ruleset pfftp Pour tester je tente une connexion en FTP sur le firewall, qui n'a pas de serveur FTP. Je devrais au moins avoir un log d'une tentative de connexion (non?) Mon fichier reste désespérément vide. Help!
	00

16/10/2009, 16h58	#5
frenchviking Invité de passage Inscription : octobre 2009 Messages : 6 Détails du profil Informations forums : Inscription : octobre 2009 Messages : 6 Points : 0 Points : 0	En fait la machine ou est installé le pare-feu fait office de proxy ftp. Ce que je souhaite donc c'est logger toutes les connexions réussites sur les serveurs FTP derrière le pf. Sinon même avec la modification, je n'ai toujours rien dans mon fichier de log pfftp.
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email