Bonjour,
 
je suis en train de me documenter sur le fonctionnement interne de PF et
la j'ai un truc bizarre sur l'enregistrement de l'etat des sessions avec  
les options "keep state" et "synproxy state".
 
A priori pour un flux entre deux interfaces il faut  
 
1/ Laisser passer le flux en entrant sur l'interface A avec "keep state"
2/ Laisser sortir le flux en sortant sur l'interface B avec "keep state"
 
Cela veut-il dire que l'etat d'un session est en lien direct avec
l'interface sur laquelle elle transite ?
jme trompe ?
 
merci.

??? Aucune idee ????
thanks.

Non, pas la peine de laisser sortir le flux si c'est entré en keep state.

Bon ben je doit avoir faut quelque part,
 
bien evidemment, mes regles par defaut sont de tout rejeter.
Alors pour l'interface em0 j'ai mis ce genre de restriction :
 
pass out quick on em0 proto tcp from 192.168.4.0/24 port ssh to 192.168.1.0/24 flags S/SA keep state
block in log quick on em0
block out log quick on em0
 
pour la seconde interface j'ai mis a peu pres la meme chose mais en entrée. La connection tcp étant initiée depuis l'interface em1.
 
pass in quick on em1 proto tcp from 192.168.1.0/24 to 192.168.4.0/24 port ssh flags S/SA keep state
block in log quick on em1
block out log quick on em1
 
Donc, si je supprime la regle de sortie sur em0, le flux ne passe pas. ce qui me fait dire que le "keep state" est dépendant de l'interface reseau.
 
j'ai faut ?

Ton firewall est bidgé ?  
On m'a dit que sur du pf bridgé y a des petites subtilités au niveau des interfaces, mais j'en sais pas beaucoup plus.

Ben non,  
j'ai pas paramétré de bridge.
ca va etre lourd comme config, si il faut que j'autorise le flux en entrée et en sortie.

Y'aurai pas un appel sysctl pour desactiver tout
ce qui est bridge ?
 
merci.