Discussion :

[daggy]

Bonjour,
Je souhaite finaliser la configuration de ma passerelle OpenBsd .

Je possede une box openbsd avec 3 interfaces réseaux:
fxp0 : pour le lan
rl0 : pour internet
rl1 : pour une future dmz

actuellement je nat tout le trafic de mon lan vers internet et ça fonctionne bien .

Je cherche à rediriger le trafic internet en dirction du port ssh (443 chez moi) vers un pc sous debian de mon lan ayant pour IP 192.168.1.5 sur le port 443 aussi.

voici le fichier de conf de mon PF cependant j'ai l'impression que la redirection de port ne fonctionne pas:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
 
ext="rl0"
int="fxp0"
#dmz="rl1"
# Déclaration des ports à ne pas logguer à cause des virus
# Déclaration des hôtes sur mon réseau local
web = "192.168.1.5"
# Déclaration de ports non conforme
tcp_ports = "{ 443 , 51234 }"
udp_ports = "{ 8767 }"
#################################
########Debut de Config##########
#################################
set skip on lo
scrub in all
#################################
########CONFIG NAT###############
#################################
# Nat Local vers Internet
nat on $ext from $int:network to any -> $ext
#################################
#####Redirection du ports########
#################################
rdr on $ext proto tcp from any to ($ext) port $tcp_ports -> $web
rdr on $ext proto udp from any to ($ext) port $udp_ports -> $web
# On active l'antispoofing sur l'interface
# externe : cette règle bloquera les paquets venant de
# l'extérieur essayant d'utiliser frauduleusement notre
# adresse pour passer à travers le filtre.
antispoof for $ext
# On ne filtre pas les paquets sur l'interface interne.
pass quick on $int
# Par défaut, on bloque et on loggue tout les paquets
# venant de l'extérieur.
block in on $ext
 
# On autorise tout le trafic sortant (le trafic NATé du \
# réseau local passera par ces règles)
pass out on $ext inet proto tcp all flags S/SA keep state
pass out on $ext inet proto { udp, icmp } all keep state

Si quelqun peut m'aider merci par avance.

Daggy

[genteur slayer]

moi pour ma redirection, j'utilise la commande:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

rdr on $ext_if proto tcp from any to any port xxx -> #adr_serv# port xxx

et cela marche pas mal,

par rapport à ton cas, je l'écrirai plutôt comme ça:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

rdr on $ext proto tcp from any to any $ext port $tcp_ports -> $web port $tcp_ports

mais je ne suis pas complètement sûr que cela resolve le pb....

en fait tu ne reussit pas à acceder à ton ordi par internet via ssh?