Autoriser une machine à communiquer avec une autre sur un port particulier
This commit is contained in:
jdubois
parent
3c29e65efc
commit
a40a5f2b2f
|
|
@ -157,6 +157,31 @@ On peut par exemple filtrer pour ne voir que les paquets bloqués, ou que ceux a
|
||||||
|
|
||||||
## Cas d'utilisation
|
## Cas d'utilisation
|
||||||
|
|
||||||
|
### Autoriser une machine à communiquer avec une autre sur un port particulier
|
||||||
|
|
||||||
|
Imaginons la politique de filtrage par défaut suivante :
|
||||||
|
|
||||||
|
- Tout est bloqué en entrée sur l'interface WAN
|
||||||
|
- Tout est autorisé en sortie sur les interfaces WAN et LAN
|
||||||
|
- Tout est autorisé en entrée sur l'interface LAN, pour les IP provenant du LAN
|
||||||
|
|
||||||
|
~~~
|
||||||
|
# Interfaces
|
||||||
|
lan_if = "em0"
|
||||||
|
ext_if = "em1"
|
||||||
|
|
||||||
|
# Politique par défaut
|
||||||
|
block all
|
||||||
|
pass out
|
||||||
|
pass in quick on $lan_if from ($lan_if:network) to any
|
||||||
|
~~~
|
||||||
|
|
||||||
|
Si on veut autoriser en entrée sur l'interface WAN l'IP `192.0.2.10` à communiquer vers les ports `22` et `443` de l'IP `198.51.100.50 :
|
||||||
|
|
||||||
|
~~~
|
||||||
|
pass in quick on $ext_if proto tcp from 192.0.2.10 to 198.51.100.50 port { 22, 443 }
|
||||||
|
~~~
|
||||||
|
|
||||||
### Limite d'état spécifique à une règle
|
### Limite d'état spécifique à une règle
|
||||||
|
|
||||||
Si une machine est souvent la cible d'attaques pouvant remplir la table d'états, une limite spécifique à une règle peut être mise en place afin de ne pas atteindre la limite globale qui bloquerait la création de nouveaux états.
|
Si une machine est souvent la cible d'attaques pouvant remplir la table d'états, une limite spécifique à une règle peut être mise en place afin de ne pas atteindre la limite globale qui bloquerait la création de nouveaux états.
|
||||||
|
|
|
||||||
Loading…
Reference in a new issue