Utilisation de wildcard dans le pf.conf

classic Classic list List threaded Threaded
9 messages Options
Reply | Threaded
Open this post in threaded view
|

Utilisation de wildcard dans le pf.conf

Christophe Rioux
Bonjour,

en vue de déploiement d'un projet de refonte des infras, j'aimerais
utiliser OpenBsd pour la sécurité.

Par contre, j'ai une contrainte technique, car je dois laisser passer des
flux de type *.domaine.com, chose que je n'ai jamais fait en 10 ans
d'OpenBsd.

Est-ce que c'est possible et si oui comment ?

Merci pour les infos
Christophe
Reply | Threaded
Open this post in threaded view
|

Re: Utilisation de wildcard dans le pf.conf

Mathieu KERJOUAN
Bonjour Christophe,

Oui, c'est tout à fait possible. Je t'invite à lire la documentation
officielle sur le filtrage avec packet filter (
http://www.openbsd.org/faq/pf/fr/filter.html) qui devrait répondre à ta
question.

Tu peux aussi faire un tour sur le manuel de pf.conf dans la partie
concernant les exemples est relativement bien fournit et devrait te fournir
une bonne base pour commencer:
http://www.openbsd.org/cgi-bin/man.cgi?query=pf.conf#EXAMPLES

Cordialement/Best regards,

· *Mathieu*·*KERJOUAN *·····························
Reply | Threaded
Open this post in threaded view
|

Re: Utilisation de wildcard dans le pf.conf

Christophe Rioux
oui et non,

quand je fait un
pass in on $MyInterf from $myNet to $dest

le $dest correspond à un réseau défini dans une macro locale ou dans le
fichier hosts. Je ne vois par contre pas la possibilité de mettre le
wildcard, sachant que le nom est dynamic, donc peut évoluer entre le moment
où j'ai compilé mes règles et le moment où il est appliqué.

Exemple:
site.domaine.com = IP1 au moment de la compil
site.domaine.com = IP2 au moment où le site est demandé

=> le pass in ne fonctionnera plus à ce moment là, étant donné que dans les
règles on a autorisé IP1 et non pas IP2.

Me trompe-je ?


Le 11 décembre 2013 14:16, Mathieu KERJOUAN <[hidden email]> a
écrit :

> Bonjour Christophe,
>
> Oui, c'est tout à fait possible. Je t'invite à lire la documentation
> officielle sur le filtrage avec packet filter (
> http://www.openbsd.org/faq/pf/fr/filter.html) qui devrait répondre à ta
> question.
>
> Tu peux aussi faire un tour sur le manuel de pf.conf dans la partie
> concernant les exemples est relativement bien fournit et devrait te fournir
> une bonne base pour commencer:
> http://www.openbsd.org/cgi-bin/man.cgi?query=pf.conf#EXAMPLES
>
> Cordialement/Best regards,
>
> · *Mathieu*·*KERJOUAN *·····························
>
Reply | Threaded
Open this post in threaded view
|

Re: Utilisation de wildcard dans le pf.conf

Mathieu Blanc
Le 11/12/2013 15:37, Christophe Rioux a écrit :

> oui et non,
>
> quand je fait un
> pass in on $MyInterf from $myNet to $dest
>
> le $dest correspond à un réseau défini dans une macro locale ou dans le
> fichier hosts. Je ne vois par contre pas la possibilité de mettre le
> wildcard, sachant que le nom est dynamic, donc peut évoluer entre le moment
> où j'ai compilé mes règles et le moment où il est appliqué.
>
> Exemple:
> site.domaine.com = IP1 au moment de la compil
> site.domaine.com = IP2 au moment où le site est demandé
>
> => le pass in ne fonctionnera plus à ce moment là, étant donné que dans les
> règles on a autorisé IP1 et non pas IP2.
>
> Me trompe-je ?

En effet, les règles sont évaluées au chargement du fichier pf.conf,
donc si toto.titi.fr change d'IP, tu l'auras dans l'os.

Une solution, un peu bricolée : tu peux utiliser les tables dynamiques
de PF, et via un cron, faire un résolution de toto.titi.fr, et recharger
ta table dynamique (avec pfctl -t).

En espérant ne pas avoir avoir répondu à côté de la plaque ;)

A+

--
Mathieu

>
>
> Le 11 décembre 2013 14:16, Mathieu KERJOUAN <[hidden email]> a
> écrit :
>
>> Bonjour Christophe,
>>
>> Oui, c'est tout à fait possible. Je t'invite à lire la documentation
>> officielle sur le filtrage avec packet filter (
>> http://www.openbsd.org/faq/pf/fr/filter.html) qui devrait répondre à ta
>> question.
>>
>> Tu peux aussi faire un tour sur le manuel de pf.conf dans la partie
>> concernant les exemples est relativement bien fournit et devrait te fournir
>> une bonne base pour commencer:
>> http://www.openbsd.org/cgi-bin/man.cgi?query=pf.conf#EXAMPLES
>>
>> Cordialement/Best regards,
>>
>> · *Mathieu*·*KERJOUAN *·····························
>>
>



________________________________
French OpenBSD mailing list
[hidden email]
http://www.openbsd-france.org/communaute.php

Reply | Threaded
Open this post in threaded view
|

Re: Utilisation de wildcard dans le pf.conf

Mathieu KERJOUAN
In reply to this post by Christophe Rioux
Effectivement... Je n'avais pas vu ça sous cet angle! Un sujet similaire
est présent sur la mailing-list (
http://openbsd.7691.n7.nabble.com/DNS-lookups-for-hostnames-in-PF-tables-td69546.html)
mais à priori, pas eu de solutions à la fin de l'échange. Si ça peut
t'aider à résoudre ton problème.

Dans tous les cas, tu peux mettre la solution de Mathieu BLANC en place,
c'est de la bidouille, mais y'a pas de raison qui ça ne fonctionne pas!
(voir http://www.openbsd.org/faq/pf/tables.html#manip) :)

Cordialement/Best regards,

· *Mathieu*·*KERJOUAN *·····························
Reply | Threaded
Open this post in threaded view
|

Re: Utilisation de wildcard dans le pf.conf

Mxher
Salut à tous.

Le 11/12/2013 16:32, Mathieu KERJOUAN a écrit :

> Effectivement... Je n'avais pas vu ça sous cet angle! Un sujet similaire
> est présent sur la mailing-list (
> http://openbsd.7691.n7.nabble.com/DNS-lookups-for-hostnames-in-PF-tables-td69546.html)
> mais à priori, pas eu de solutions à la fin de l'échange. Si ça peut
> t'aider à résoudre ton problème.
>
> Dans tous les cas, tu peux mettre la solution de Mathieu BLANC en place,
> c'est de la bidouille, mais y'a pas de raison qui ça ne fonctionne pas!
> (voir http://www.openbsd.org/faq/pf/tables.html#manip) :)
>
> Cordialement/Best regards,
>
> · *Mathieu*·*KERJOUAN *·····························
>

J'allais proposer le même genre d'astuce.

Tu pourrais peut être avoir un peu plus propre si tu as la main sur le
serveur gérant le domaine: faire un alias pour effectuer le reload de
bind et envoyer la liste des enregistrements sur le serveur OpenBSD pour
mettre à jour la table dynamique.

Bonne chance!

Maxime

________________________________
French OpenBSD mailing list
[hidden email]
http://www.openbsd-france.org/communaute.php

Reply | Threaded
Open this post in threaded view
|

Re: Utilisation de wildcard dans le pf.conf

Christophe Rioux
Bonjour,

merci pour vos réponse, mais malheureusement ça ne le fera pas ... je vais
devoir abandonner mon bon vieux OpenBsd pour prendre un produit commercial
... sniffffffffff

On va mettre en place une solution tout en 1 au niveau messagerie; pour
résumer on passe sur Office 365. Or un des pré-requis est de laisser passer
les flux *.live.com, *.Microsoft.com, *.office.com directement vers le net,
et hors proxy. Pour le proxy, il sait faire (squid), mais au niveau
firewall, no chance ...

@+
Christophe


Le 11 décembre 2013 18:07, Maxime <[hidden email]> a écrit :

> Salut à tous.
>
> Le 11/12/2013 16:32, Mathieu KERJOUAN a écrit :
> > Effectivement... Je n'avais pas vu ça sous cet angle! Un sujet similaire
> > est présent sur la mailing-list (
> >
> http://openbsd.7691.n7.nabble.com/DNS-lookups-for-hostnames-in-PF-tables-td69546.html
> )
> > mais à priori, pas eu de solutions à la fin de l'échange. Si ça peut
> > t'aider à résoudre ton problème.
> >
> > Dans tous les cas, tu peux mettre la solution de Mathieu BLANC en place,
> > c'est de la bidouille, mais y'a pas de raison qui ça ne fonctionne pas!
> > (voir http://www.openbsd.org/faq/pf/tables.html#manip) :)
> >
> > Cordialement/Best regards,
> >
> > · *Mathieu*·*KERJOUAN *·····························
> >
>
> J'allais proposer le même genre d'astuce.
>
> Tu pourrais peut être avoir un peu plus propre si tu as la main sur le
> serveur gérant le domaine: faire un alias pour effectuer le reload de
> bind et envoyer la liste des enregistrements sur le serveur OpenBSD pour
> mettre à jour la table dynamique.
>
> Bonne chance!
>
> Maxime
>
> ________________________________
> French OpenBSD mailing list
> [hidden email]
> http://www.openbsd-france.org/communaute.php
>
>
Reply | Threaded
Open this post in threaded view
|

Re: Utilisation de wildcard dans le pf.conf

Xavier Lemaire
Tu devrais essayer Pfsense qui je pense résoud ce besoin

Xavier Lemaire

Tel FR 00 33 2 22 06 41 05
Tel MA 00 212 6 58 30 01 81

message envoyé de mon smartphone
Le 13 déc. 2013 15:46, "Christophe Rioux" <[hidden email]> a écrit :

> Bonjour,
>
> merci pour vos réponse, mais malheureusement ça ne le fera pas ... je vais
> devoir abandonner mon bon vieux OpenBsd pour prendre un produit commercial
> ... sniffffffffff
>
> On va mettre en place une solution tout en 1 au niveau messagerie; pour
> résumer on passe sur Office 365. Or un des pré-requis est de laisser passer
> les flux *.live.com, *.Microsoft.com, *.office.com directement vers le
> net,
> et hors proxy. Pour le proxy, il sait faire (squid), mais au niveau
> firewall, no chance ...
>
> @+
> Christophe
>
>
> Le 11 décembre 2013 18:07, Maxime <[hidden email]> a écrit :
>
> > Salut à tous.
> >
> > Le 11/12/2013 16:32, Mathieu KERJOUAN a écrit :
> > > Effectivement... Je n'avais pas vu ça sous cet angle! Un sujet
> similaire
> > > est présent sur la mailing-list (
> > >
> >
> http://openbsd.7691.n7.nabble.com/DNS-lookups-for-hostnames-in-PF-tables-td69546.html
> > )
> > > mais à priori, pas eu de solutions à la fin de l'échange. Si ça peut
> > > t'aider à résoudre ton problème.
> > >
> > > Dans tous les cas, tu peux mettre la solution de Mathieu BLANC en
> place,
> > > c'est de la bidouille, mais y'a pas de raison qui ça ne fonctionne pas!
> > > (voir http://www.openbsd.org/faq/pf/tables.html#manip) :)
> > >
> > > Cordialement/Best regards,
> > >
> > > · *Mathieu*·*KERJOUAN *·····························
> > >
> >
> > J'allais proposer le même genre d'astuce.
> >
> > Tu pourrais peut être avoir un peu plus propre si tu as la main sur le
> > serveur gérant le domaine: faire un alias pour effectuer le reload de
> > bind et envoyer la liste des enregistrements sur le serveur OpenBSD pour
> > mettre à jour la table dynamique.
> >
> > Bonne chance!
> >
> > Maxime
> >
> > ________________________________
> > French OpenBSD mailing list
> > [hidden email]
> > http://www.openbsd-france.org/communaute.php
> >
> >
>
Reply | Threaded
Open this post in threaded view
|

Re: Utilisation de wildcard dans le pf.conf

Eric Huiban
In reply to this post by Christophe Rioux
Christophe Rioux wrote:

> Bonjour,
>
> merci pour vos réponse, mais malheureusement ça ne le fera pas ... je vais
> devoir abandonner mon bon vieux OpenBsd pour prendre un produit commercial
> ... sniffffffffff
>
> On va mettre en place une solution tout en 1 au niveau messagerie; pour
> résumer on passe sur Office 365. Or un des pré-requis est de laisser passer
> les flux *.live.com, *.Microsoft.com, *.office.com directement vers le net,
> et hors proxy. Pour le proxy, il sait faire (squid), mais au niveau
> firewall, no chance ...

'jour !

En tout cas, ajouter une dépendance du firewall envers le DNS ne semble
pas être une bonne chose : au premier rogue-dns, ou simplement dns mal
configuré qui passe par là c'est la fête, tout automatisme va te pourrir
ton système. Et accessoirement des bretelles vont se faire remonter :
autant éviter la douce sensation d'un boucle de ceinture au niveau des
amygdales.

D'autre part, pas de risque de rhume. Tu n'auras pas à retirer tes
chaussettes pour énumérer tes IPs en les comptant sur ses doigts : il
n'y en a pas assez. Donc :

- une mise en script indépendante d'une white-list d'IPs pour pf,
- et un script qui surveille la résolution de nom et maile une alerte en
cas de changement (qui a de grande chance d’être douteux) sera surement
plus sécurisé. Une validation humaine par les men-in-black locaux me
semble être un bon concept.

devraient être largement suffisant. Je doute qu'office365 soit utilisé
pour piloter un sous-marin nucléaire.

a+

________________________________
French OpenBSD mailing list
[hidden email]
http://www.openbsd-france.org/communaute.php