[OpenBSD PF] voulez pas m' aider un peu pour mes règles.

voulez pas m' aider un peu pour mes règles. [OpenBSD PF] - Linux et OS Alternatifs

Marsh Posté le 23-03-2004 à 13:38:51    

je vous postes mon script:
dites moi ce que vous en pensez

Net_iface= "tun0"
Int_iface= "em0"
Loop= "lo0"
 
gw= "10.0.0.1"
 
Int_Net= "10.0.0.0/24"
 
No_route= "{ 127.0.0.1/8, 192.168.0.0/16, 172.16.0.0/12, 10.0.0.0/8, 255.255.255.255/32 }"
 
ServicesTCP= "22"
ServicesUDP= "6667"
 
#--- OPTIONS ---------------------------------------------
 
# On souhaite pouvoir réaliser des statistiques
# sur l' interface tun0.
set loginterface tun0
 
# On limite le nombre d' entrées dans les tables de suivi
# de connexion et dans celle de normalisation.
set limit { states 10000, frags 5000 }
 
set optimization aggressive
set block-policy drop
 
 
#--- NORMALISATION -----------------------------------------
scrub in all
 
#--- REGLES DE TRANSLATION D' ADRESSES ---------------------
nat on tun0 from $Int_Net to any -> $Net_iface
 
#--- REGLES DE FILTRAGE ------------------------------------
 
# Politique par défaut.
block in  log all
block out log all
 
 
antispoof for $Net_iface
 
# Règles pour LoOpback
antispoof for $Loop
pass in  quick on $Loop all
pass out quick on $Loop all
 
# Lan
pass in  quick on $Int_iface all
pass out quick on $Int_iface all
 
 
# On bloque les scans nmap et les tentatives  
# de prise d' empreinte de pile tcp/ip.
block in log quick on $Net_iface inet proto tcp from any to any flags FUP/FUP
block in log quick on $Net_iface inet proto tcp from any to any flags SF/SFRA
block in log quick on $Net_iface inet proto tcp from any to any flags /SFRA
 
# On bloque les adresses non routables.
block in  log quick on $Net_iface from $No_route to any
block out log quick on $Net_iface from any to $No_route
 
 
# Serveur WEB:  
#pass in quick on $Net_iface proto tcp from any to any port = 80 flags S/SA #keep state  
# Serveur SSH:
#pass in quick on $Net_iface proto tcp from any to any port = 22 flags S/SA #keep state
# Icmp:
pass  in quick on $Net_iface inet proto icmp all icmp-type 8 code 0 keep state
pass  in quick on $Net_iface inet proto icmp all icmp-type 11 keep state
block in log quick on $Net_iface proto icmp from any to any  
 
 
pass out quick on $Net_iface inet proto tcp flags S/SA keep state
pass out quick on $Net_iface inet proto udp all keep state
pass out quick on $Net_iface inet proto icmp keep state  


 
si vous voyez qqc de louche, de mon coté le nat fonctionne, je vois pas de problèmes
il y a juste un truc que je voulais savoir par ex ds les règles pour les scans
est ce necessaire de rajouter "from any to any", je ne penses pas mais j' attends confirmation.
 
autre chose pour le support dcc sous irc, comment faire ?
 
enfin bref si vous avez des conseils à me filer ca pourra servir également à d' autres personnes, hesitez pas  :D  
merci  :hello:

Reply

Marsh Posté le 23-03-2004 à 13:38:51   

Reply

Marsh Posté le 23-03-2004 à 15:52:26    

up

Reply

Marsh Posté le 23-03-2004 à 16:47:31    

voici ce que me donnes pfctl -sr :
 

scrub in all fragment reassemble
block drop in log all
block drop out log all
block drop in on ! tun0 inet from 212.194.141.130 to any
block drop in inet from 212.194.141.130 to any
block drop in on ! lo0 inet from 127.0.0.0/8 to any
block drop in on ! lo0 inet6 from ::1 to any
pass in quick on lo0 all
pass out quick on lo0 all
pass in quick on em0 all
pass out quick on em0 all
block drop in log quick on tun0 inet proto tcp all flags FPU/FPU
block drop in log quick on tun0 inet proto tcp all flags FS/FSRA
block drop in log quick on tun0 inet proto tcp all flags /FSRA
block drop in log quick on tun0 inet from 127.0.0.0/8 to any
block drop in log quick on tun0 inet from 192.168.0.0/16 to any
block drop in log quick on tun0 inet from 172.16.0.0/12 to any
block drop in log quick on tun0 inet from 10.0.0.0/8 to any
block drop in log quick on tun0 inet from 255.255.255.255 to any
block drop out log quick on tun0 inet from any to 127.0.0.0/8
block drop out log quick on tun0 inet from any to 192.168.0.0/16
block drop out log quick on tun0 inet from any to 172.16.0.0/12
block drop out log quick on tun0 inet from any to 10.0.0.0/8
block drop out log quick on tun0 inet from any to 255.255.255.255
block drop in quick on tun0 inet proto tcp from any to any port = epmap
block drop in quick on tun0 inet proto udp from any to any port 135 >< 139
pass in quick on tun0 inet proto icmp all icmp-type echoreq code 0 keep state
pass in quick on tun0 inet proto icmp all icmp-type timex keep state
block drop in log quick on tun0 proto icmp all
pass out quick on tun0 inet proto tcp all flags S/SA keep state
pass out quick on tun0 inet proto udp all keep state
pass out quick on tun0 inet proto icmp all keep state


 
elles sont pas byzarres ces regles   :heink:
block drop in on ! tun0 inet from 212.194.141.130 to any
block drop in on ! lo0 inet from 127.0.0.0/8 to any
block drop in on ! lo0 inet6 from ::1 to any
 
 
et puis quand je fais un 'tcpdump -n -e -ttt /var/log/pflog'
ca me sort: tcpdump: synthax error
je comprends pas trop..


Message édité par Profil supprimé le 23-03-2004 à 16:48:52
Reply

Marsh Posté le 23-03-2004 à 16:50:51    

presque rien a voir mais est ce que ca existe en francais :  
http://openbsd.org/faq/pf/index.html

Reply

Marsh Posté le 23-03-2004 à 16:55:44    

je sais pas ..

Reply

Marsh Posté le 24-03-2004 à 09:46:42    

:bounce:

Reply

Marsh Posté le 24-03-2004 à 10:32:33    

Docs en français très sympathiques :
http://www.openbsd-edu.net/
http://blitz.thessalie.net/openbsd/
 
Un point de passage pas mal aussi quand on a compris les bases :
https://solarflux.org/pf/
 
Bon courage...
PF, une fois qu'on a mis le pied dedans...


Message édité par danny92 le 24-03-2004 à 10:33:37
Reply

Marsh Posté le 24-03-2004 à 10:40:12    

ha il m ' a l' air interressant le 3 eme lien  
je vais fouiller là dedans merci  :)

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed