Chaines sous PF

classic Classic list List threaded Threaded
4 messages Options
Reply | Threaded
Open this post in threaded view
|

Chaines sous PF

Mik J
Bonjour,

Je souhaiterais savoir s'il existe le principe de chaines avec PF tel qu'il existe avec iptables sous linux.
Le but est d'évaluer une règle et si l'évaluation est positive de renvoyer vers un groupe de règles.
Ceci dans un but d'optimisation des règles.

Je n'ai pas vu dans la documentation une méthode qui correspondrait à part l'option set optimization.

Merci




________________________________
French OpenBSD mailing list
[hidden email]
http://www.openbsd-france.org/communaute.php

Reply | Threaded
Open this post in threaded view
|

Re: Chaines sous PF

Maxime DERCHE-3
Bonjour,

On Mon, 4 Oct 2010 14:17:10 +0000 (GMT)
Mik J <[hidden email]> wrote:

> Bonjour,
>
> Je souhaiterais savoir s'il existe le principe de chaines avec PF tel
> qu'il existe avec iptables sous linux. Le but est d'évaluer une règle
> et si l'évaluation est positive de renvoyer vers un groupe de règles.
> Ceci dans un but d'optimisation des règles.

Je ne connais pas du tout IP Tables (lorsque j'ai voulu apprendre à
mettre en place du filtrage réseau, j'ai fui vers PF quand j'ai vu la
syntaxe de ce truc...), mais a priori non à ma connaissance y'a pas
réellement de procédé de "chainage".

Vous pouvez vous en sortir en utilisant des tags puis en traitant les
paquets taggés. Si vous placez judicieusement tes règles et que tu
utilise bien le mot-clé quick, ça /devrait/ se rapprocher de ce que
vous veux faire.

> Je n'ai pas vu dans la documentation une méthode qui correspondrait à
> part l'option set optimization.

Cela n'a strictement rien à voir. Ce que vous voulez faire, c'est
optimiser votre jeu de règles pour éviter que certains de vos paquets
passent par la totalité du filtre en les sous-traitant à une
sous-partie de votre jeu de règles. La directive set optimisation
concerne des réglages tels que la durée d'expiration des états de
connexion dans la table d'états, ce qui n'est pas du tout la même
chose. Vous vous référiez probablement à la directive set
ruleset-optimization qui a effectivement trait à l'optimisation du jeu
de règles, mais qui à mon humble avis devrait de toute façon rester
réglée sur basic, soit le comportement par défaut.


Cordialement,
Maxime

--
Maxime DERCHE
GnuPG public key ID : 0x9A85C4C0
(fingerprint : 0FDC 16AF 5A5B 1908 786C  2B85 2D3C C83E 9A85 C4C0)
http://www.mouet-mouet.net/maxime/blog/index.php

attachment0 (202 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: Chaines sous PF

Maxime DERCHE-3
On Mon, 4 Oct 2010 16:59:09 +0200
Maxime DERCHE <[hidden email]> wrote:

> Bonjour,
>
> On Mon, 4 Oct 2010 14:17:10 +0000 (GMT)
> Mik J <[hidden email]> wrote:
>
> > Bonjour,
> >
> > Je souhaiterais savoir s'il existe le principe de chaines avec PF
> > tel qu'il existe avec iptables sous linux. Le but est d'évaluer une
> > règle et si l'évaluation est positive de renvoyer vers un groupe de
> > règles. Ceci dans un but d'optimisation des règles.
>
> Je ne connais pas du tout IP Tables (lorsque j'ai voulu apprendre à
> mettre en place du filtrage réseau, j'ai fui vers PF quand j'ai vu la
> syntaxe de ce truc...), mais a priori non à ma connaissance y'a pas
> réellement de procédé de "chainage".
>
> Vous pouvez vous en sortir en utilisant des tags puis en traitant les
> paquets taggés. Si vous placez judicieusement tes règles et que tu
> utilise bien le mot-clé quick, ça /devrait/ se rapprocher de ce que
> vous veux faire.
Oups, désolé pour mon mauvais français, mais c'est lundi et j'avais
commencé à rédiger le message en tutoiement, avant de changer d'avis...
Sauf que j'ai manifestement oublié de relire certaines phrases. :/


--
Maxime DERCHE
GnuPG public key ID : 0x9A85C4C0
(fingerprint : 0FDC 16AF 5A5B 1908 786C  2B85 2D3C C83E 9A85 C4C0)
http://www.mouet-mouet.net/maxime/blog/index.php

attachment0 (202 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: Chaines sous PF

Hugo Villeneuve-2
In reply to this post by Mik J
On Mon, Oct 04, 2010 at 02:17:10PM +0000, Mik J wrote:
> Bonjour,
>
> Je souhaiterais savoir s'il existe le principe de chaines avec PF tel qu'il existe avec iptables sous linux.
> Le but est d'évaluer une règle et si l'évaluation est positive de renvoyer vers un groupe de règles.

PF contient un système d'ancrage (traduction libre) défini dans la
section sur les "ANCHORS" du manuel de pf.conf.

Elles sont souvant utilisées quand le contenu de l'ancre est maintenu
dynamiquement par un programme (authpf, ftp-proxy, ou un script
utilisant "pfctl -a" directement).

> Ceci dans un but d'optimisation des règles.

En principe ceci n'est pas nécessaire. PF/pfctl fait de l'excellent
travail dans ce domaine.

>
> Je n'ai pas vu dans la documentation une méthode qui correspondrait à part l'option set optimization.
>
> Merci
>

________________________________
French OpenBSD mailing list
[hidden email]
http://www.openbsd-france.org/communaute.php