From 8be2a413a493bff5d2a72730e789147922e32e64 Mon Sep 17 00:00:00 2001 From: jdubois Date: Mon, 5 Feb 2024 12:00:59 +0100 Subject: [PATCH] 2e relecture --- HowtoOpenBSD/PFSYNC.md | 14 ++++++-------- 1 file changed, 6 insertions(+), 8 deletions(-) diff --git a/HowtoOpenBSD/PFSYNC.md b/HowtoOpenBSD/PFSYNC.md index 4ddf1175..328bb3fe 100644 --- a/HowtoOpenBSD/PFSYNC.md +++ b/HowtoOpenBSD/PFSYNC.md @@ -3,18 +3,16 @@ categories: openbsd network firewall title: Howto PFSYNC sous OpenBSD --- - +* Documentation : -Pfsync est un protocole permettant le transfert et la synchronisation de la table d'états utilisée par PacketFilter entre plusieurs firewalls. Son fonctionnement par défaut met en place une diffusion multicast des changements de table sur une interface donnée, permettant aux noeuds du même cluster de mettre à jour leur table en conséquence. Généralement utilisé de concert avec [CARP](/HowtoOpenBSD/CARP) cela permet un fail-over transparent entre plusieurs firewalls. +[Pfsync](https://man.openbsd.org/pfsync.4) est un protocole permettant le transfert et la synchronisation de la table d'états utilisée par PacketFilter entre plusieurs firewalls. Son fonctionnement par défaut met en place une diffusion multicast des changements de table sur une interface donnée, permettant aux noeuds du même cluster de mettre à jour leur table en conséquence. Généralement utilisé de concert avec [CARP](/HowtoOpenBSD/CARP) cela permet un fail-over transparent entre plusieurs firewalls. > **Attention, Pfsync ne dispose d'aucun mécanisme d'authentification, ce qui expose les noeuds de votre cluster au spoofing de packets, et à la création d'états falsifiés permettant à un tier d'outre-passer totalement le jeu de règles pf. Ce protocole est à mettre en place uniquement dans un réseau de confiance.** -# Configuration +## Configuration La configuration de pfsync consiste simplement à créer une pseudo-interface puis à lier celle-ci avec l'interface physique de notre choix. Dans un souci de sécurité il est important de ne pas utiliser une interface existante afin d'isoler les trafics. -## Première configuration - Dans un premier temps, il est possible de choisir entre une synchronisation par diffusion multicast ou une synchronisation peer-to-peer (p2p). Par défaut pfsync diffuse tous les paquets de synchronisation vers l'addresse multicast ```224.0.0.240```. Note : la diffusion peer-to-peer permet la protection éventuelle du trafic pfsync via ipsec. @@ -64,9 +62,9 @@ syncdev up ~~~ -Note : la ligne `up` doit être en dernier pour que la configuration fonctionne. +Note : la ligne `up` doit obligatoirement être en dernier pour que la configuration fonctionne. -# Autorisation par règles de filtrage (pf) +## Configuration PacketFilter Afin d'autoriser le trafic pfsync, ajouter la règle dans `/etc/pf.conf` : @@ -74,7 +72,7 @@ Afin d'autoriser le trafic pfsync, ajouter la règle dans `/etc/pf.conf` : pass quick on pfsync0 proto pfsync ~~~ -# Commandes +## Commandes Afficher les statistiques du protocole pfsync :