From a40a5f2b2f18eef5af45bc08a9ca43ae06766751 Mon Sep 17 00:00:00 2001 From: jdubois Date: Wed, 8 Nov 2023 17:03:44 +0100 Subject: [PATCH] =?UTF-8?q?Autoriser=20une=20machine=20=C3=A0=20communique?= =?UTF-8?q?r=20avec=20une=20autre=20sur=20un=20port=20particulier?= MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit --- HowtoOpenBSD/PacketFilter.md | 25 +++++++++++++++++++++++++ 1 file changed, 25 insertions(+) diff --git a/HowtoOpenBSD/PacketFilter.md b/HowtoOpenBSD/PacketFilter.md index e56875e1..ff9b0299 100644 --- a/HowtoOpenBSD/PacketFilter.md +++ b/HowtoOpenBSD/PacketFilter.md @@ -157,6 +157,31 @@ On peut par exemple filtrer pour ne voir que les paquets bloqués, ou que ceux a ## Cas d'utilisation +### Autoriser une machine à communiquer avec une autre sur un port particulier + +Imaginons la politique de filtrage par défaut suivante : + +- Tout est bloqué en entrée sur l'interface WAN +- Tout est autorisé en sortie sur les interfaces WAN et LAN +- Tout est autorisé en entrée sur l'interface LAN, pour les IP provenant du LAN + +~~~ +# Interfaces +lan_if = "em0" +ext_if = "em1" + +# Politique par défaut +block all +pass out +pass in quick on $lan_if from ($lan_if:network) to any +~~~ + +Si on veut autoriser en entrée sur l'interface WAN l'IP `192.0.2.10` à communiquer vers les ports `22` et `443` de l'IP `198.51.100.50 : + +~~~ +pass in quick on $ext_if proto tcp from 192.0.2.10 to 198.51.100.50 port { 22, 443 } +~~~ + ### Limite d'état spécifique à une règle Si une machine est souvent la cible d'attaques pouvant remplir la table d'états, une limite spécifique à une règle peut être mise en place afin de ne pas atteindre la limite globale qui bloquerait la création de nouveaux états.