[gull] Re: [gull] règles packet filter sous openbsd

Thu Jul 1 09:30:03 CEST 2004

On Thursday 01 July 2004 08:59, Johan Tornay wrote:

> je constate que la machine OpenBSD fait suivre les paquets mais qu'il n'y a
> pas de retour.

Que veux-tu dire par pas de retour ?

> Est-ce que la redirection modifie l'adresse source (donne celle du BSD) et
> lorsqu'il recoit les paquets en retour du serveur de mail pour lui dire ok
> j'ai recu ta demande, rien n'arrive ? Je ne pense pas, le but d'une
> redirection est bien de laisser l'adresse source comme elle était avant ?

Parles-tu de la "source-address" du paquet Ethernet ou de celle de "From:" du 
header du mail ? Je ne connais pas 'spamd' mais je suppose qu'il agit comme 
tout les autres outils de ce genre. CAD, "passe-au-suivant"... sans qu'il 
soit necessaire de maintenir un lien bidirectionnel ouvert. Comme 'spamd' est 
en amont de 'sendmail' qui est sur ton systeme 'Mail', celui-ci n'est pas le 
'milter' de sendmail. S'il est capable de refuser des mails avant la fin de 
la connexion avec l'expediteur, c'est qu'il le fait de maniere autonome. Je 
ne comprends donc pas qule gener de retour est necessaire. 

La connexion OpenBSD -> Mail se fait-elle en udp ou tcp ? Peux-tu regarder 
avec un 'tcpdump' quel est la forme de la requete envoyee depuis BSD (adresse 
IP, port, etc) ?

> Sur toutes les documentations qui parlent de redirection, il y a toujours
> mention de deux interfaces (routeur/firewall), est-ce possible de le faire
> avec une interface ? est-ce qu'il ne faudrait pas au moins deux adresses IP
> ?

Non. Les documenst que tu trouvent parlent d'exemple concrets qui utilisent N 
machines et N interfaces. C'est tout... Tu peux tres bien avoir une seule et 
meme machine qui fasse tout (avec peut-etre un IP alias). Dans ce cas, le 
resultat est un peu en contradiction avec l'objectif qui est de separe les 
machines pour eviter les consequences d'intrusion sur une de ces machines; 
mais c'est techniquement possible.

L'objectif de deux interface est d'isoler les reseau pour eviter qu'un intru 
sur le premier reseau puisse faire du 'promiscuous' mode et collecte des 
informations sensibles echangees entre les autres systsmes sur ce reseau. 
L'utilisation de deux interfaces est le moyen de se premunir contre ce genre 
de probleme. Ce n'est pas un necessite technologique si l'on a une confiance 
aveugle dans son firewall et/ou que l'on decide de negliger ce genre 
d'eventualite.

> OpenBSD propose une solution de pare-feu soho, donc je vais tenter de
> mettre ca en place et la redirection devrait fonctionner correctement.

Quand tu parles de redirection, s'agit-il de redirection de paquets IP ? ou de 
redirection de 'data'. Ne serait-il pas plus judicieux de parler de 'forward' 
plutot que de redirection ?

Daniel