[gull] Re: [gull] règles packet filter sous openbsd
Daniel Cordey
dc at mjt.ch
Thu Jul 1 09:30:03 CEST 2004
On Thursday 01 July 2004 08:59, Johan Tornay wrote:
> je constate que la machine OpenBSD fait suivre les paquets mais qu'il n'y a
> pas de retour.
Que veux-tu dire par pas de retour ?
> Est-ce que la redirection modifie l'adresse source (donne celle du BSD) et
> lorsqu'il recoit les paquets en retour du serveur de mail pour lui dire ok
> j'ai recu ta demande, rien n'arrive ? Je ne pense pas, le but d'une
> redirection est bien de laisser l'adresse source comme elle était avant ?
Parles-tu de la "source-address" du paquet Ethernet ou de celle de "From:" du
header du mail ? Je ne connais pas 'spamd' mais je suppose qu'il agit comme
tout les autres outils de ce genre. CAD, "passe-au-suivant"... sans qu'il
soit necessaire de maintenir un lien bidirectionnel ouvert. Comme 'spamd' est
en amont de 'sendmail' qui est sur ton systeme 'Mail', celui-ci n'est pas le
'milter' de sendmail. S'il est capable de refuser des mails avant la fin de
la connexion avec l'expediteur, c'est qu'il le fait de maniere autonome. Je
ne comprends donc pas qule gener de retour est necessaire.
La connexion OpenBSD -> Mail se fait-elle en udp ou tcp ? Peux-tu regarder
avec un 'tcpdump' quel est la forme de la requete envoyee depuis BSD (adresse
IP, port, etc) ?
> Sur toutes les documentations qui parlent de redirection, il y a toujours
> mention de deux interfaces (routeur/firewall), est-ce possible de le faire
> avec une interface ? est-ce qu'il ne faudrait pas au moins deux adresses IP
> ?
Non. Les documenst que tu trouvent parlent d'exemple concrets qui utilisent N
machines et N interfaces. C'est tout... Tu peux tres bien avoir une seule et
meme machine qui fasse tout (avec peut-etre un IP alias). Dans ce cas, le
resultat est un peu en contradiction avec l'objectif qui est de separe les
machines pour eviter les consequences d'intrusion sur une de ces machines;
mais c'est techniquement possible.
L'objectif de deux interface est d'isoler les reseau pour eviter qu'un intru
sur le premier reseau puisse faire du 'promiscuous' mode et collecte des
informations sensibles echangees entre les autres systsmes sur ce reseau.
L'utilisation de deux interfaces est le moyen de se premunir contre ce genre
de probleme. Ce n'est pas un necessite technologique si l'on a une confiance
aveugle dans son firewall et/ou que l'on decide de negliger ce genre
d'eventualite.
> OpenBSD propose une solution de pare-feu soho, donc je vais tenter de
> mettre ca en place et la redirection devrait fonctionner correctement.
Quand tu parles de redirection, s'agit-il de redirection de paquets IP ? ou de
redirection de 'data'. Ne serait-il pas plus judicieux de parler de 'forward'
plutot que de redirection ?
Daniel
More information about the gull
mailing list