Browse Source

OpenBSD: corrections de syntaxe

master
Jérémy Lecour 4 years ago
committed by Jérémy Lecour
parent
commit
df8dcf18c7
  1. 16
      HowtoOpenBSD/CARP.md
  2. 4
      HowtoOpenBSD/Flashinstall.md
  3. 36
      HowtoOpenBSD/GestionDisques.md
  4. 8
      HowtoOpenBSD/Netflow.md
  5. 17
      HowtoOpenBSD/OSPF.md
  6. 31
      HowtoOpenBSD/OpenBGPD.md
  7. 5
      HowtoOpenBSD/PFSYNC.md
  8. 9
      HowtoOpenBSD/PFStat.md
  9. 5
      HowtoOpenBSD/PacketFilter.md
  10. 8
      HowtoOpenBSD/ProxyFTP.md
  11. 12
      HowtoOpenBSD/RAID1.md
  12. 15
      HowtoOpenBSD/Reseau.md
  13. 35
      HowtoOpenBSD/Unbound.md
  14. 9
      HowtoOpenBSD/VLAN.md
  15. 7
      HowtoOpenBSD/VRF-rtable-rdomain.md

16
HowtoOpenBSD/CARP.md

@ -1,4 +1,7 @@
# Howto CARP sous OpenBSD
---
categories: openbsd network
title: Howto CARP sous OpenBSD
---
<http://www.openbsd.org/faq/pf/carp.html>
@ -60,7 +63,7 @@ ou
Normalement, le master va générer un paquet CARP avec la priorité 255 ce qui doit avoir comme conséquence
que le SLAVE va immédiatemment passer MASTER. Ce paquet peut être observé avec `tcpdump proto carp`
Note : avec "ifconfig carp0 down" nous avons eu parfois des soucis de bascule non immédiate,
Note : avec `ifconfig carp0 down` nous avons eu parfois des soucis de bascule non immédiate,
on recommande donc d'observer ce qui se passer avec `tcpdump proto carp` et éventuellement
de privilégier la bascule via carpdemote qui semblerait plus sûre (à confirmer).
@ -69,13 +72,14 @@ Note : avec "ifconfig carp0 down" nous avons eu parfois des soucis de bascule no
Lorsque que l'on a un firewall en BACKUP, il est "agréable" de pouvoir le redémarrer sans que cela n'impacte le MASTER.
Pour cela, il faut bien comprendre le comportement de CARP au démarrage (c'est valable aussi quand
on le configure manuellement... ou même reconfigure... même si il est MASTER !!) :
on le configure manuellement… ou même reconfigure… même si il est MASTER !!) :
pendant un certain temps, il va toujours rester en BACKUP pour voir si il ne reçoit pas d'annonce d'un MASTER.
Si il n'a rien reçu, il passe en MASTER. Pour ce temps est d'attente, il va utiliser sa valeur _advbase_ (par défaut à 1 seconde !).
Conséquences de cela :
* Si vous reconfigurez une interface CARP MASTER, elle va passer en BACKUP pendant _advbase_ secondes !
=> Conseil : si vous intervenez en prod sur un CARP MASTER, mettez manuellement une valeur d'advbase faible (1 à 5 secondes)
=> Conseil : si vous intervenez en prod sur un CARP MASTER, mettez manuellement une valeur d'advbase faible (1 à 5 secondes)
* Si vous redémarrez une machine avec des CARP BACKUP, il est probable que son réseau ne soit pas opérationnel immédiatement
(synchronisation Spanning Tree qui prend 50 secondes par défaut sur un switch CISCO par exemple) : l'interface va donc se
@ -93,8 +97,10 @@ Pour la création d'un VLAN, voir [VLAN](VLAN)
~~~
# cat /etc/hostname.bnx0
up
# cat /etc/hostname.vlan42
vlandev bnx0 description "VLAN42"
vlandev bnx0 description "VLAN42"
# cat /etc/hostname.carp0
192.0.2.30/27 carpdev vlan42 pass PASSWORD vhid 1 advskew 128
~~~

4
HowtoOpenBSD/Flashinstall.md

@ -1,7 +1,7 @@
---
title: Howto OpenBSD/Flashinstall
categories: openbsd
...
---
## Introduction
@ -44,7 +44,7 @@ swap /tmp mfs rw,nodev,nosuid,-s64m 0 0
Ici on utilise mfs qui le gros avantage d'avoir l'option -P qui permet de recupérer le contenu d'un dossier !
On redémarre...
On redémarre
~~~
# Reboot

36
HowtoOpenBSD/GestionDisques.md

@ -1,4 +1,7 @@
# Howto Gestion des disques sous OpenBSD
---
categories: openbsd network
title: Howto Gestion des disques sous OpenBSD
---
La gestion des disques sous OpenBSD est parfois déroutante, surtout si
l'on vient du monde GNU/Linux. Pour une introduction, lire la [FAQ](https://www.openbsd.org/faq/faq14.html#intro)
@ -9,7 +12,7 @@ l'on vient du monde GNU/Linux. Pour une introduction, lire la [FAQ](https://www.
Si l'on ajoute un nouveau disque sur un système OpenBSD, voici les différentes étapes pour l'initialiser (outre l'installation matérielle ;-).
Prenons l'exemple avec disque _sd1_ ajouté. Il faut d'abord initialiser sa table des partitions :
Prenons l'exemple avec disque `sd1` ajouté. Il faut d'abord initialiser sa table des partitions :
~~~
# fdisk -i sd1
@ -41,11 +44,13 @@ partition: [a]
offset: [63]
size: [975691647]
FS type: [4.2BSD]
> p
OpenBSD area: 63-975691710; size: 975691647; free: 0
# size offset fstype [fsize bsize cpg]
a: 975691647 63 4.2BSD 2048 16384 1
c: 975699968 0 unused
> q
Write new label?: [y]
~~~
@ -65,10 +70,10 @@ super-block backups (for fsck -b #) at:
### Disque en FAT32
Afin qu'il soit lisible par d'autres systèmes (par exemple un disque USB pour des sauvegardes), voici les différentes étapes pour
initialiser un disques en FAT32. Prenons l'exemple avec disque _sd1_ ajouté. Il faut d'abord initialiser sa table des partitions :
initialiser un disques en FAT32. Prenons l'exemple avec disque `sd1` ajouté. Il faut d'abord initialiser sa table des partitions :
~~~
# fdisk -i sd1
# fdisk -i sd1
-----------------------------------------------------
------ ATTENTION - UPDATING MASTER BOOT RECORD ------
@ -80,7 +85,7 @@ Do you wish to write new MBR and partition table? [n] y
On indique ensuite que la partition est de type FAT32 :
~~~
# fdisk -e sd1
# fdisk -e sd1
Enter 'help' for information
fdisk: 1> p
Disk: sd1 geometry: 60801/255/63 [976773168 Sectors]
@ -124,23 +129,23 @@ Choose from the following Partition id values:
19 Willowtech 65 NetWare 3.xx A8 MacOS X
1C ThinkPad Rec 66 NetWare 386 A9 NetBSD
Partition id ('0' to disable) [0 - FF]: [A6] (? for help) 0B
Do you wish to edit in CHS mode? [n]
offset: [63]
size: [976768002]
Do you wish to edit in CHS mode? [n]
offset: [63]
size: [976768002]
fdisk:*1> w
Writing MBR at offset 0.
fdisk: 1> q
~~~
La partition est ainsi accessible en _sd1i_ comme l'indique disklabel :
La partition est ainsi accessible en `sd1i` comme l'indique disklabel :
~~~
# disklabel sd1
# disklabel sd1
disklabel: warning, DOS partition table with no valid OpenBSD partition
# /dev/rsd1c:
type: SCSI
disk: SCSI disk
label: HM500JI
label: HM500JI
flags:
bytes/sector: 512
sectors/track: 63
@ -154,23 +159,22 @@ trackskew: 0
cylinderskew: 0
headswitch: 0 # microseconds
track-to-track seek: 0 # microseconds
drivedata: 0
drivedata: 0
16 partitions:
# size offset fstype [fsize bsize cpg]
c: 976773168 0 unused 0 0
i: 976768002 63 MSDOS
c: 976773168 0 unused 0 0
i: 976768002 63 MSDOS
~~~
Enfin, on la formate ensuite en FAT32 :
~~~
# newfs_msdos sd1i
# newfs_msdos sd1i
/dev/rsd1i: 974863936 sectors in 121857992 FAT32 clusters (4096 bytes/cluster)
bps=512 spc=8 res=32 nft=2 mid=0xf8 spt=63 hds=255 hid=63 bsec=976768002 bspf=952016 rdcl=2 infs=1 bkbs=2
~~~
## Monter une partition FFS sous Linux
~~~

8
HowtoOpenBSD/Netflow.md

@ -1,4 +1,7 @@
# Howto Netflow sous OpenBSD
---
categories: openbsd network
title: Howto Netflow sous OpenBSD
---
<http://www.openbsd.org/cgi-bin/man.cgi?query=pflow>
@ -17,7 +20,7 @@ Sous OpenBSD, cela s'active via :
Mais il faut également marquer les paquets que l'on veut collecter avec l'état _pflow_ via PF.
En effet, c'est PF qui enverra les paquets marqués.
Voici ainsi un pf.conf très simple pour marquer tous les paquets :
Voici ainsi un `pf.conf` très simple pour marquer tous les paquets :
~~~
set skip on lo
@ -29,4 +32,3 @@ Pour collecter tout le trafic :
~~~
set state-defaults pflow
~~~

17
HowtoOpenBSD/OSPF.md

@ -1,4 +1,7 @@
# Howto OSPF sous OpenBSD
---
categories: openbsd network
title: Howto OSPF sous OpenBSD
---
<http://www.openbsd.org/papers/linuxtag06-network.pdf>
@ -53,7 +56,7 @@ Ces 3 routeurs ont un lien entre eux via l'interface em0, et 2 d'entre eux ont u
192.0.0.1/24
~~~
Voici le _ospfd.conf_ du routeur ayant l'adresse IP 10.0.0.1 :
Voici le `ospfd.conf` du routeur ayant l'adresse IP 10.0.0.1 :
~~~
# global configuration
@ -85,7 +88,7 @@ area 0.0.0.0 {
}
~~~
Voici le _ospfd.conf_ du routeur ayant l'adresse IP 10.0.0.2 :
Voici le `ospfd.conf` du routeur ayant l'adresse IP 10.0.0.2 :
~~~
# global configuration
@ -117,7 +120,7 @@ area 0.0.0.0 {
}
~~~
Et voici le _ospfd.conf_ du routeur ayant l'adresse IP 10.0.0.3 :
Et voici le `ospfd.conf` du routeur ayant l'adresse IP 10.0.0.3 :
~~~
# global configuration
@ -159,7 +162,7 @@ Toutes les interfaces externes sont annoncées en tant que passives pour qu'aucu
Du côté CARP, dans le cas où le routeur 10.0.0.3 est master et 10.0.0.2 est backup, alors OSPFD verra l'état CARP et seul le master enverra le réseau 192.0.0.0/24 aux autres routeurs.
Les paramètres globaux fib-update, rfc1583compat, spf-delay, spf-holdtime et les paramètres d'interfaces metric, retransmit-interval, router-dead-time, hello-interval, router-priority et transmit-delay sont laissés à leur valeur par défaut et n'ont donc pas obligatoirement besoin d'être donnés.
Les paramètres globaux `fib-update`, `rfc1583compat`, `spf-delay`, `spf-holdtime` et les paramètres d'interfaces `metric`, `retransmit-interval`, `router-dead-time`, `hello-interval`, `router-priority` et `transmit-delay` sont laissés à leur valeur par défaut et n'ont donc pas obligatoirement besoin d'être donnés.
### Utilisation
@ -193,7 +196,7 @@ ID Pri State DeadTime Address Iface Uptime
Voir la FIB (Forwarding Information Base) :
~~~
# ospfctl show fib
# ospfctl show fib
flags: * # valid, O OSPF, C # Connected, S Static
Flags Prio Destination Nexthop
*C 4 10.0.0.0/26 link#6
@ -216,7 +219,7 @@ Flags Prio Destination Nexthop
*O 32 192.0.0.0/24 10.0.0.3
~~~
Il est également possible de n'afficher que les routes statiques en remplaçant _ospf_ par _static_, ou encore d'utiliser les mots clefs _connected_ ou _interface_, ou de spécifier directement une adresse de destination.
Il est également possible de n'afficher que les routes statiques en remplaçant `ospf` par `static`, ou encore d'utiliser les mots clefs `connected` ou `interface`, ou de spécifier directement une adresse de destination.
Voir l'état des interfaces :

31
HowtoOpenBSD/OpenBGPD.md

@ -1,7 +1,7 @@
---
title: Howto OpenBGPD
categories: network openbsd
...
---
## Documentation
@ -110,7 +110,7 @@ Pour voir les réseaux annoncés :
# bgpctl network show
~~~
Voir un résumé concernant les sessions configurées :
Voir un résumé concernant les sessions configurées :
~~~
# bgpctl show summary
@ -171,7 +171,7 @@ flags prio destination gateway
On notera principalement la présence de la ligne **\*B 48 192.0.33.0/24 10.0.0.3** qui signifie la présence de cette route grâce à BGP. On voit donc que l'on peut joindre un IP du réseau 192.0.33.0/24 via 10.0.0.3 :
~~~
# route get 192.0.33.1
# route get 192.0.33.1
route to: 33-1.lax.icann.org
destination: 192.0.33.0
mask: 255.255.255.0
@ -181,7 +181,7 @@ destination: 192.0.33.0
priority: 48 (bgp)
flags: <UP,GATEWAY,DONE>
use mtu expire
0 0 0
0 0 0
~~~
Voir la RIB (Routing Information Base) :
@ -239,8 +239,8 @@ BGP routing table entry for 1.2.0.0/19
On modifie les paramètres associés aux neighbors, par exemple :
~~~
set metric 1
set localpref 120
set metric 1
set localpref 120
~~~
Puis on recharge le démon :
@ -328,6 +328,7 @@ En cas de souci avec un « voisin », on peut complètement le désactiver à
~~~
# bgpctl neighbor "Foo peer v4" down
request processed
# bgpctl neighbor show | grep Foo
Foo peer v4 1234 760965 16283 0 00:00:26 Idle
~~~
@ -349,7 +350,7 @@ Considérons l'IP 192.0.33.10 attaquée. L'idée ici est de pouvoir annoncer au
Sur la machine avec l'adresse IP 10.0.0.2, on crée une règle avec une communauté BGP de notre choix assignée au blackhole dans bgpd.conf
~~~
allow from group "peering AS65002" community 65001:666 prefixlen = 32 set nexthope blackhole
allow from group "peering AS65002" community 65001:666 prefixlen = 32 set nexthope blackhole
~~~
puis on recharge la configuration:
@ -396,14 +397,14 @@ puis on ajoute les droits pour les binaires nécessaires :
Et on configure httpd(8) via `/etc/httpd.conf`
~~~
ext_addr="0.0.0.0"
server "lg.example.net" {
listen on $ext_addr port 80
location "/cgi-bin/*" {
fastcgi
root ""
}
ext_addr="0.0.0.0"
server "lg.example.net" {
listen on $ext_addr port 80
location "/cgi-bin/*" {
fastcgi
root ""
}
}
~~~

5
HowtoOpenBSD/PFSYNC.md

@ -1,4 +1,7 @@
# Howto PFSYNC sous OpenBSD
---
categories: openbsd network firewall
title: Howto PFSYNC sous OpenBSD
---
<http://www.openbsd.org/faq/pf/carp.html#pfsyncintro>

9
HowtoOpenBSD/PFStat.md

@ -1,4 +1,7 @@
# Howto PFStat
---
categories: openbsd network firewall
title: Howto PFStat
---
## Installation
@ -8,7 +11,7 @@
## Configuration
Exemple de pfstat.conf pour afficher la bande passante utilisée:
Exemple de `pfstat.conf` pour afficher la bande passante utilisée:
~~~
collect 1 = interface "bnx0" pass bytes in ipv4 diff
@ -51,7 +54,7 @@ On lance ensuite les crons suivants :
Une petite page HTML pour rendre la consultation plus facile :
~~~
~~~{.html}
<html>
<h1>PFStats</h1>
<h2>bnx0</h2>

5
HowtoOpenBSD/PacketFilter.md

@ -1,4 +1,7 @@
# HowToOpenBSD/PacketFilter
---
categories: openbsd network firewall
title: HowToOpenBSD/PacketFilter
---
## Tips & Astuces

8
HowtoOpenBSD/ProxyFTP.md

@ -1,6 +1,9 @@
# FTP derrière un firewall OpenBSD
---
categories: openbsd network
title: FTP derrière un firewall OpenBSD
---
Depuis la version 4.9, qui a apporté de nombreuses modifications à PacketFilter, il semble nécessaire d'ouvrir le port 21 en provenance des clients du LAN
Depuis la version 4.9, qui a apporté de nombreuses modifications à PacketFilter, il semble nécessaire d'ouvrir le port 21 en provenance des clients du LAN
qui auront accès à des services FTP.
Le reste de la configuration, comprenant le daemon ftp-proxy, ne change pas.
@ -13,4 +16,3 @@ pass in quick proto tcp to port ftp divert-to 127.0.0.1 port 8021
pass in on $lan_if proto tcp from $poste_autorisé to any port ftp keep state
~~~

12
HowtoOpenBSD/RAID1.md

@ -1,4 +1,7 @@
# HowToOpenBSD/RAID1
---
categories: openbsd raid
title: HowToOpenBSD/RAID1
---
*1) Démarrer sur le CD d'installation d'OpenBSD*
@ -14,6 +17,7 @@
# fdisk -iy sd0
# fdisk -iy sd1
~~~
note : Le premier mégaoctet est utilisé par bioctl pour le RAID, donc si notre disque a été utilisé avec softraid précédemment, on utilise dd(1) pour l'effacer.
*4) On crée ensuite une large partition sur les disques (Notez bien le FS type: RAID)*
@ -25,6 +29,7 @@ Label editor (enter '?' for help at any prompt)
offset: [64]
size: [20964761]
FS type: [4.2BSD] RAID
# disklabel sd0 > structure
# disklabel -R sd1 structure
~~~
@ -40,12 +45,15 @@ FS type: [4.2BSD] RAID
~~~
# install
~~~
À l'étape de préparation du disque, choisir notre nouveau disque RAID (dans notre cas sd2)
~~~
Available disks are: sd0 sd1 sd2.
Which one is the root disk? (or 'done') [sd0] sd2
~~~
Et voilà !
----
@ -59,11 +67,13 @@ softraid0 0 Online 2146656256 sd2 RAID1
0 Online 2146656256 0:0.0 noencl <sd0a>
1 Online 2146656256 0:1.0 noencl <sd1a>
~~~
*Pour sortir un disque du RAID (comme si le disque lâchait)*
~~~
# bioctl -O /dev/sd0a sd2
~~~
En rejouant la commande bioctl sd2, vous devrier voir le disque Offline.
*Pour reconstruire le RAID après remise en place d'un nouveau disque*

15
HowtoOpenBSD/Reseau.md

@ -1,4 +1,7 @@
# Howto Réseau sous OpenBSD
---
categories: openbsd network
title: Howto Réseau sous OpenBSD
---
<https://www.openbsd.org/faq/faq6.html>
@ -29,7 +32,7 @@ Configuration automatique :
Attention il ne s'agit pas de la même syntaxe qu'ifconfig, on ne met
pas le mot clé netmask, sinon la configuration ne sera pas chargée
(Voir man hostname.if). À noter qu'on peut aussi utiliser une
(Voir `man hostname.if`). À noter qu'on peut aussi utiliser une
notation CIDR.
## Alias
@ -148,7 +151,7 @@ Rajouter des routes statiques vers PPPoE :
# route add 1.2.3.0/24 -ifp pppoe0 0.0.0.1
~~~
Gestion de la route _default_ avec PPPoE (attention, on ne peut pas se servir du fichier _/etc/mygate_) :
Gestion de la route _default_ avec PPPoE (attention, on ne peut pas se servir du fichier `/etc/mygate`) :
~~~
# rm /etc/mygate
@ -166,7 +169,7 @@ Activation de l'autoconfiguration IPv6 :
Activation de *rtadvd* pour annoncer un préfixe et un routeur.
/etc/rtadvd.conf :
`/etc/rtadvd.conf` :
~~~
sis0:\
@ -199,13 +202,13 @@ up
STP permet d'activer le spanning tree.
/etc/hostname.em1
`/etc/hostname.em1`
~~~
up
~~~
/etc/hostname.em2
`/etc/hostname.em2`
~~~
up

35
HowtoOpenBSD/Unbound.md

@ -1,28 +1,31 @@
# HowToOpenBSD/Unbound
---
categories: openbsd network
title: HowToOpenBSD/Unbound
---
Voici ce que doit contenir le fichier /var/unbound/etc/unbound.conf
Voici ce que doit contenir le fichier `/var/unbound/etc/unbound.conf`
~~~
server:
# interface sur laquelle le daemon écoute
interface: XX.XX.XX.XX
interface: 127.0.0.1
interface: ::1
# interface sur laquelle le daemon écoute
interface: XX.XX.XX.XX
interface: 127.0.0.1
interface: ::1
access-control: 0.0.0.0/0 refuse
access-control: 127.0.0.0/8 allow
# important, on précise qui pourra interroger le service
access-control: XX.XX.XX.0/24 allow
access-control: ::0/0 refuse
access-control: ::1 allow
access-control: 0.0.0.0/0 refuse
access-control: 127.0.0.0/8 allow
# important, on précise qui pourra interroger le service
access-control: XX.XX.XX.0/24 allow
access-control: ::0/0 refuse
access-control: ::1 allow
hide-identity: yes
hide-version: yes
hide-identity: yes
hide-version: yes
auto-trust-anchor-file: "/var/unbound/db/root.key"
auto-trust-anchor-file: "/var/unbound/db/root.key"
~~~
On active unbound dans rc.conf.local et on démarre le daemon !
On active unbound dans `rc.conf.local` et on démarre le daemon !
~~~
# rcctl enable unbound

9
HowtoOpenBSD/VLAN.md

@ -1,6 +1,9 @@
# Howto VLAN sous OpenBSD
---
categories: openbsd network
title: Howto VLAN sous OpenBSD
---
<http://man.openbsd.org/OpenBSD-current/man4/vlan.4>
* Documentation : <http://man.openbsd.org/OpenBSD-current/man4/vlan.4>
*IEEE 802.1Q/1AD* encapsulation/decapsulation pseudo-device
@ -27,9 +30,11 @@ On configure ensuite l'interface de la même manière qu'une interface classique
~~~
# cat /etc/hostname.bnx0
up
# cat /etc/hostname.vlan1
vlandev bnx0 description "VLAN1-Net1"
inet 10.10.10.1 255.255.255.0 10.10.10.255
# cat /etc/hostname.vlan7
vlandev bnx0 description "VLAN1-Net2"
inet 10.20.30.1 255.255.255.0 10.20.30.255

7
HowtoOpenBSD/VRF-rtable-rdomain.md

@ -1,4 +1,7 @@
# HowToOpenBSD/VRF(rtable/rdomain)
---
categories: openbsd network
title: HowToOpenBSD/VRF (rtable/rdomain)
---
L'idée d'utiliser les VRFs (Virtual Routing and Forwarding) est d'aller plus loin dans l'isolation des flux. Depuis OpenBSD 4.9 (IPv4) et OpenBSD 5.5 (IPv6) il est possible d'utiliser des rtable pour ajouter une séparation logique, créer plusieurs tables de routage. Nous allons donc voir comment créer des tables de routage suplémentaires et comment permettre la communication entre celles-ci (VRF leaking) grâce à l'utilisation de PF.
@ -101,7 +104,7 @@ ifconfig em0 inet alias 192.168.4.243 netmask 255.255.255.0
~~~
~~~
# ifconfig em0
# ifconfig em0
em0: flags=28843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST,NOINET6> mtu 1500
lladdr 52:54:00:03:56:0b
priority: 0

Loading…
Cancel
Save