[OpenBSD] Configuration de packet filter

Version imprimable

01/04/2008, 10h13
Olivier Regnier

[OpenBSD] Configuration de packet filter
Bonjour :)

Je viens de commencer la configuration de packet filter sous openbsd.

J'ai activé l'animal dans /etc/rc.conf.local :
Code:

1 2 pf=YES pf_rules=/etc/pf.conf.local
Pour reprendre à zéro mes règles de filtrage, je me suis dit, on va commencer par tout bloquer :
Code:

1 2 3 set block-policy drop scrub in all block all
Ensuite, j'ai redémarré ma machine, donc pf est bien activé, le fichier de règles testés (3 lignes :mouarf:) figurez-vous que mon routeur a réussi à m'adresser une adresse IP 8O par contre, si je le ping, j'obtiens "no route to host".

Quel est le problème ? Est-ce le fonctionnement normal ? Bloquer tout veut bien dire ce que cela veut dire. Dans ce cas, pourquoi le routeur arrive à m'adresser une adresse IP ? 8O

Merci d'avance :mrgreen:
01/04/2008, 11h23
gorgonite

es-tu sûr que pf démarre avant la requête dhcp ?
01/04/2008, 11h25
Olivier Regnier

Citation:

Envoyé par gorgonite

es-tu sûr que pf démarre avant la requête dhcp ?

Oui, il démarre avant :mrgreen:
01/04/2008, 11h27
gorgonite

perso, j'avais déjà rencontré un problème similaire avec iptables, mais sur un serveur dhcp... je n'avais pas ouvert le port (et tout bloquer par défaut), et pourtant les clients réussissaient à récupérer une adresse :?
01/04/2008, 13h51
Olivier Regnier

Je me suis renseigné sur la mailing liste d'OpenBSD et voici la réponse obtenue:

Citation:

Ceci n'est qu'une supposition.
Les échanges entre le client et le serveur DHCP se font par l'adresse de
broadcast (donc non routable par nature) et non par une adresse ip
définie (routable).
L'attribut "no-route" doit faire que les messages DHCP ne sont pas
bloqués par tes règles.
Si tu venais à changer "no-route" par "any", peut-être que même le
dialogue DHCP serait bloqué.

Il faut maintenant tester :mrgreen:
01/04/2008, 14h15
julp

pfctl -sa (ou -sr) te renvoyait bien tes règles ?

Sinon dans ces cas-là, le plus sage est de regarder ce qu'il se passe au niveau du filtrage (après avoir fait mention de l'option log au niveau des règles concernées) :mrgreen:
03/04/2008, 09h06
Olivier Regnier

Le fonctionnement est tout à fait normal du moins avec pf.

Citation:

Il faut jeter un oeil à /etc/rc:Au boot, si pf != NO, alors open charge des règles génériques, puis configure les interfaces (donc le dhcp) puis charge ensuite les règles $pf_rules. Voilà donc la raison.Ca permet si j'ai bien compris les règles génériques, d'avoir un accès uniquement ssh (et port 53 ?) à la machine si jamais le chargement de pf.conf rate.

Donc, pas de soucis, je retourne donc dans ma config :mrgreen:
15/08/2009, 00h28
oberfaulersgeist

bonjour tous le monde, je ne sais pas si on a déja résolu ce pb mais je pense que le pb ne vient pas du packet filter, car normalement si c le cas, on doit t'afficher "operation not permited" (bon j'etais sous freebsd) dans le cas si ton PF ne le permet pas, mais le message no route to host est un problème de la table de routage, par exemple la route par défaut doit être spécifié (bon tu utilise dhcp donc elle doit exister dans la table de routage du noyau). ce que je peu te suggérer c'est d'essayer de pinger mais sans activer le PF, et vérifier les tables de routage et l'adressage:

tout dabord, vérifie si tes règles que tu a spécifié ton celle qui sont chargé avec la commande: pfctl -sr
tu dois normalement n'avoir qu'une seule ligne qui contien "block all", après tu suis les étapes suivantes:

pfctl -d # désactive pf
ifconfig -a #vérifie que ta carte réseau a eu son @ip
netstat -rn #affiche la table de routage et regarde si tu a eu ta route par défaut
ping ma_passerelle
ping ip_fai

si le pb persiste alors c'est plus un pb de PF.
bonne chance