From f169d20630a8016479f23263100a3e46f51d8930 Mon Sep 17 00:00:00 2001 From: jdubois Date: Fri, 6 Oct 2023 10:37:22 +0200 Subject: [PATCH] =?UTF-8?q?Modification=20"Exclure=20une=20IP=20d'une=20r?= =?UTF-8?q?=C3=A8gle=20autorisant=20un=20pr=C3=A9fixe=20plus=20large"=20po?= =?UTF-8?q?ur=20mettre=20un=20warning=20sur=20ce=20qu'il=20ne=20faut=20pas?= =?UTF-8?q?=20faire,=20sans=20mettre=20de=20code=20pour=20ne=20pas=20le=20?= =?UTF-8?q?rendre=20trop=20visible=20et=20qu'on=20puisse=20vouloir=20l'app?= =?UTF-8?q?liquer=20sans=20avoir=20vu=20que=20c'=C3=A9tait=20ce=20qu'il=20?= =?UTF-8?q?ne=20fallait=20pas=20faire?= MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit --- HowtoOpenBSD/PacketFilter.md | 19 +------------------ 1 file changed, 1 insertion(+), 18 deletions(-) diff --git a/HowtoOpenBSD/PacketFilter.md b/HowtoOpenBSD/PacketFilter.md index 569e2e35..84dd9a49 100644 --- a/HowtoOpenBSD/PacketFilter.md +++ b/HowtoOpenBSD/PacketFilter.md @@ -275,24 +275,7 @@ pass in quick on $wan from any to 192.0.2.0/24 Si dans ce préfixe, il y a l'IP 192.0.2.5 en particulier pour laquelle on ne veut pas avoir cette large autorisation, on pourrait vouloir l'exclure. -#### Ce qu'il ne faut PAS faire - -PacketFilter permet la négation avec le point d'exclamation `!`. On pourrait donc penser à modifier la règle précédente pour obtenir ceci : - -~~~ -pass in quick on $wan from any to { 192.0.2.0/24, !192.0.2.5 } -~~~ - -Mais attention ! Cette règle n'indique pas de tout autoriser vers tout le préfixe 192.0.2.0/24 sauf vers l'IP 192.0.2.5. Elle est découpée en 2 règles indépendantes : - -~~~ -pass in quick on $wan from any to 192.0.2.0/24 -pass in quick on $wan from any to !192.0.2.5 -~~~ - -La première indiquant de tout autoriser vers 192.0.2.0/24, et la deuxième indiquant de tout autoriser vers tout le monde, sauf vers 192.0.2.5. On se retrouve alors avec une autorisation depuis n'importe qui et vers l'ensemble de notre réseau, sauf 192.0.2.5. - -#### Ce qu'il faut faire +PacketFilter permet la négation avec le point d'exclamation `!`. On pourrait donc penser à modifier la règle précédente pour y ajouter `!192.0.2.5`, mais attention ! Cette règle n'indiquera pas de tout autoriser vers tout le préfixe 192.0.2.0/24 sauf vers l'IP 192.0.2.5. Elle sera découpée en 2 règles indépendantes : la première indiquant de tout autoriser vers 192.0.2.0/24, et la deuxième indiquant de tout autoriser vers tout le monde, sauf vers 192.0.2.5. On se retrouverait alors avec une autorisation depuis n'importe qui et vers l'ensemble de notre réseau, sauf 192.0.2.5. Pour exclure une IP d'une autorisation plus large, il faut créer une règle `block` en amont :