Discussion :

[Olivier Regnier]

Bonjour

Je viens de commencer la configuration de packet filter sous openbsd.

J'ai activé l'animal dans /etc/rc.conf.local :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
pf=YES
pf_rules=/etc/pf.conf.local

Pour reprendre à zéro mes règles de filtrage, je me suis dit, on va commencer par tout bloquer :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
set block-policy drop
scrub in all
block all

Ensuite, j'ai redémarré ma machine, donc pf est bien activé, le fichier de règles testés (3 lignes ) figurez-vous que mon routeur a réussi à m'adresser une adresse IP par contre, si je le ping, j'obtiens "no route to host".

Quel est le problème ? Est-ce le fonctionnement normal ? Bloquer tout veut bien dire ce que cela veut dire. Dans ce cas, pourquoi le routeur arrive à m'adresser une adresse IP ?

Merci d'avance

[gorgonite]

es-tu sûr que pf démarre avant la requête dhcp ?

[Olivier Regnier]

es-tu sûr que pf démarre avant la requête dhcp ?

Oui, il démarre avant

[gorgonite]

perso, j'avais déjà rencontré un problème similaire avec iptables, mais sur un serveur dhcp... je n'avais pas ouvert le port (et tout bloquer par défaut), et pourtant les clients réussissaient à récupérer une adresse

[Olivier Regnier]

Je me suis renseigné sur la mailing liste d'OpenBSD et voici la réponse obtenue:

Ceci n'est qu'une supposition.
Les échanges entre le client et le serveur DHCP se font par l'adresse de
broadcast (donc non routable par nature) et non par une adresse ip
définie (routable).
L'attribut "no-route" doit faire que les messages DHCP ne sont pas
bloqués par tes règles.
Si tu venais à changer "no-route" par "any", peut-être que même le
dialogue DHCP serait bloqué.

Il faut maintenant tester

[julp]

pfctl -sa (ou -sr) te renvoyait bien tes règles ?

Sinon dans ces cas-là, le plus sage est de regarder ce qu'il se passe au niveau du filtrage (après avoir fait mention de l'option log au niveau des règles concernées)