IPFW, commande divert
badlou
Messages postés
130
Statut
Membre
-
badlou Messages postés 130 Statut Membre -
badlou Messages postés 130 Statut Membre -
Bonjour,
J'ai un problème avec mon pare-feu IPFW+NATD sous FreeBSD ou plutôt une règle qui reste incomprise pour moi:
A quoi sert la règle #ipfw add allow ip from any to any
qui est placé après la commande divert sortante # ipfw add divert natd ip from any to any out
Cette règle est ultra permissive, et je ne comprends pas ce qu elle fait la...
Si quelqu'un pouvais m'éclairer ca serait très apprécié !
J'ai un problème avec mon pare-feu IPFW+NATD sous FreeBSD ou plutôt une règle qui reste incomprise pour moi:
A quoi sert la règle #ipfw add allow ip from any to any
qui est placé après la commande divert sortante # ipfw add divert natd ip from any to any out
Cette règle est ultra permissive, et je ne comprends pas ce qu elle fait la...
Si quelqu'un pouvais m'éclairer ca serait très apprécié !
A voir également:
- IPFW, commande divert
- Invite de commande - Guide
- Commande terminal mac - Guide
- Commande dism - Guide
- Commande scannow - Guide
- Masquer commande amazon - Guide
5 réponses
bah en gros el te dit que tout les ip qui vienne de partout peuvent allé aprtout.
Logiquement tu met ça en premiere regle de ton parfeu et ensuite tu bloque.
Mais moi par experience j'ai pris l'habitude de le faire dans l'autre sens.
Je bloque tout et j'ouvre juste ce qui m'interresse après, si tu veux je doit avoir un script iptable que j'avais fait ya deux ans, si ça peut t'aider?
ps: t tro naz d'utilisé vista... Bouh tu tombe ds mon estime mdr
Logiquement tu met ça en premiere regle de ton parfeu et ensuite tu bloque.
Mais moi par experience j'ai pris l'habitude de le faire dans l'autre sens.
Je bloque tout et j'ouvre juste ce qui m'interresse après, si tu veux je doit avoir un script iptable que j'avais fait ya deux ans, si ça peut t'aider?
ps: t tro naz d'utilisé vista... Bouh tu tombe ds mon estime mdr
Mdr, premierement j utilise vista car j ai pas le choix...
Ensuite cette règle a une incidence placé après ma commande divert et c est ca qui m intéressais...
Car je sais bien que ca veux dire que j autorise tout de tout le monde vers tout le monde, mais cette regle placé apres ma commande divert a une incidence différente bref...
merci de ton aide mais ca m avance pas beaucoup
PS, voici les regles de ipfw
00010 allow ip from any to any via lo0
00020 deny ip from 127.0.0.0/8 to any in
00030 deny ip from any to 127.0.0.0/8 in
00100 allow tcp from any to me dst-port 22 in
00150 allow tcp from me 22 to any out
00230 allow udp from me to 192.168.0.14 dst-port 53
00260 allow udp from me to 192.168.30.69 dst-port 53
00290 allow udp from me to 192.168.30.70 dst-port 53
00300 skipto 800 tcp from any to 81.80.XX.XXX
00320 allow tcp from any to 192.168.0.124
00340 skipto 800 tcp from 192.168.0.124 to any
00360 allow tcp from 81.80.XX.XXX to any
00700 deny ip from any to any
00800 divert 8668 ip from any to any via bge1
00810 allow ip from any to any
65535 deny ip from any to any
Le probleme est que quand je vire cette regle 810, je peux taper sur mon serveur interne mais ca ressort pas
Ensuite cette règle a une incidence placé après ma commande divert et c est ca qui m intéressais...
Car je sais bien que ca veux dire que j autorise tout de tout le monde vers tout le monde, mais cette regle placé apres ma commande divert a une incidence différente bref...
merci de ton aide mais ca m avance pas beaucoup
PS, voici les regles de ipfw
00010 allow ip from any to any via lo0
00020 deny ip from 127.0.0.0/8 to any in
00030 deny ip from any to 127.0.0.0/8 in
00100 allow tcp from any to me dst-port 22 in
00150 allow tcp from me 22 to any out
00230 allow udp from me to 192.168.0.14 dst-port 53
00260 allow udp from me to 192.168.30.69 dst-port 53
00290 allow udp from me to 192.168.30.70 dst-port 53
00300 skipto 800 tcp from any to 81.80.XX.XXX
00320 allow tcp from any to 192.168.0.124
00340 skipto 800 tcp from 192.168.0.124 to any
00360 allow tcp from 81.80.XX.XXX to any
00700 deny ip from any to any
00800 divert 8668 ip from any to any via bge1
00810 allow ip from any to any
65535 deny ip from any to any
Le probleme est que quand je vire cette regle 810, je peux taper sur mon serveur interne mais ca ressort pas
Pis au faite, cette règle ne se met jamais au début du pare-feu car tous les paquets correspondrait a cette regle et n irait pas juqu aux regles suivantes...
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
OK, j'ai réglé mon problème tout seul comme un grand et j'ai bien compris le fonctionnement du divert et de mon ipfw en général.
Maintenant un autre problème se pose, je ne peux pas faire de FTP ou plus précisément, télécharger sur un serveur FTP.
Bien sur il faut que ce soit "diverté" (natté) de maniere a ce que les 3 postes de mon sous-réseaux puisse télécharger en ftp.
Mes règles (non commentées) sont les suivantes :
ipfw add 620 allow tcp from $LANSubnet to any $p_ftp in via bge0
ipfw add 630 skipto 800 tcp from $LANSubnet to any $p_ftp out via bge1
ipfw add 640 skipto 800 tcp from any $p_ftp to me in via bge1
ipfw add 650 allow tcp from any $p_ftp to $LANSubnet out via bge0
ipfw add 750 deny log logamount 4 all from any to any
ipfw add 800 divert 8668 all from any to any via bge1
ipfw add 1200 allow tcp from me to any $p_ftp out via bge1
ipfw add 1300 allow tcp from any $p_ftp to $LANSubnet in via bge1
Remarque:bge1 est l'interface externe (wan) et bge0 l'interface interne(lan)
Maintenant un autre problème se pose, je ne peux pas faire de FTP ou plus précisément, télécharger sur un serveur FTP.
Bien sur il faut que ce soit "diverté" (natté) de maniere a ce que les 3 postes de mon sous-réseaux puisse télécharger en ftp.
Mes règles (non commentées) sont les suivantes :
ipfw add 620 allow tcp from $LANSubnet to any $p_ftp in via bge0
ipfw add 630 skipto 800 tcp from $LANSubnet to any $p_ftp out via bge1
ipfw add 640 skipto 800 tcp from any $p_ftp to me in via bge1
ipfw add 650 allow tcp from any $p_ftp to $LANSubnet out via bge0
ipfw add 750 deny log logamount 4 all from any to any
ipfw add 800 divert 8668 all from any to any via bge1
ipfw add 1200 allow tcp from me to any $p_ftp out via bge1
ipfw add 1300 allow tcp from any $p_ftp to $LANSubnet in via bge1
Remarque:bge1 est l'interface externe (wan) et bge0 l'interface interne(lan)
