IPFilter: erreur au démarrage [BSD] - réseaux et sécurité - Linux et OS Alternatifs
Marsh Posté le 07-06-2004 à 01:17:51
Je connais pas FreeBSD, mais peut-être n'as-tu pas le support de pf dans le système que tu utilises? Je n'ai aucune idée de la marche à suivre pour l'activer (installation, compilation du kernel?)
Des pros de FreeBSD ici?
Marsh Posté le 07-06-2004 à 08:50:10
Tout d'abord je tiens à te remercier car j'ai bien cru que j'allais rester seul sur ce post...
Le systeme que j'utilise est un NetBSD mais la config de IP Filter est standard.
Il y a à mon humble avis, 4 lignes qui concernent ipf dans la configuration du noyau:
- options PFIL_HOOKS
- pseudo-device ipfilter
et 2 autres lignes dans la configuration réseau
- activation du blocage des packets par défaut
- support pour les log de ipmon
Toutes ces options sont activées par défaut dans le noyau GENERIC de NetBSD.
Et c'est le fichier sur lequel est basé mon noyau (j'ai rajouté IPsec ce qui m'a obligé à recompiler).
Marsh Posté le 07-06-2004 à 09:36:14
Beta a écrit : Tout d'abord je tiens à te remercier car j'ai bien cru que j'allais rester seul sur ce post... |
Ah ouais... Le fait que tu ai recompilé ton kernel pour le support ipsec peut effectivement expliquer que tu n'ai pas le support de pf. Mais si j'étais toi, je vérifierai bien la marche à suivre au niveau de la configuration de l'OS après installation, pour activer pf. Peut-être te suffit-il juste de modifier un fichier .conf?
Sinon, effectivement, il va te falloir regarder de près la configuration du noyau, bien qu'apparement, tu sois assez sûr de toi.
Cependant, comme je te l'indiquais, je ne suis pas un pro de FreeBSD...
Marsh Posté le 08-06-2004 à 22:33:37
Pour la config d'ipf, je me base sur un bouquin BSD le cahier de l'admin, dont on m'a dit que du bien jusqu'à présent. D'apres lui, ça se borne à écrire un ipf.conf et à activer ipf dans le rc.conf.
Sinon Google m'a sorti une nouvelle réponse à mon problème:
Le problème concernait la meme erreur pour l'ipfilter d'une version current d'il y a 2 ans.
La solution du jour était:
And you also recompiled the user-land tools?
# cd /usr/src/sys
# make includes
# cd /usr/src/usr.sbin/ipf
# make cleandir
# make dependall install
In other words, you MUST recompile kernel _and_ the user-land tools
or things may break...
ça revient à recompiler ipfilter. Mais ces commandes ne fonctionnent pas.
Quelles sont les commandes à utiliser alors?
Marsh Posté le 08-06-2004 à 22:39:38
[citation=497205,0,4]Le fait que tu ai recompilé ton kernel pour le support ipsec peut effectivement expliquer que tu n'ai pas le support de pf.[/citation]
D'apres
http://www.netbsd-fr.org/mirror/fr [...] _breakdown
paragraphe "interaction avec ipfilter" la situation est clarifiée depuis la version 1.6 et je suis en 1.6.2.
Donc théoriquement il ne devrait plus y avoir de probleme de ce coté.
Marsh Posté le 06-06-2004 à 01:43:17
Voici le message d'erreur que j'obtient au lancement d'IPFilter,
celui-ci ayant été au préalable initialisé avec ipf -E:
root@HAL</etc>ipf -Fa -f /etc/ipf.conf
ioctl(SIOCIPFFL): Operation not supported by device
1: unexpected keyword (return-icmp) - from
2: unexpected keyword (return-rst) - from
4:ioctl(add/insert rule): Operation not supported by device
6: unexpected keyword (return-rst) - from
7: unexpected keyword (return-icmp) - from
9:ioctl(add/insert rule): Operation not supported by device
11:ioctl(add/insert rule): Operation not supported by device
12:ioctl(add/insert rule): Operation not supported by device
13:ioctl(add/insert rule): Operation not supported by device
14:ioctl(add/insert rule): Operation not supported by device
15:ioctl(add/insert rule): Operation not supported by device et ça continue....
Je n'ai malheureusement pas trouver d'aide à ce sujet sur les forums et le site d'ipfilter;
Alors toute aide est la bienvenue!
Sinon voici mon fichier de conf ipf.conf:
"
block in return-icmp from any to any
block in return-rst proto tcp from any to any
block in log quick from any to any with short
block in return-rst quick proto tcp from any to any with ipopts
block in return-icmp quick from any to any with ipopts
pass in quick on lo0 from any to any
block in log quick from any to 127.0.0.0/8
block in log quick from 127.0.0.0/8 to any
block in log quick from 192.168.0.100/32 to any
block in log quick from 192.168.1.100/32 to any
block in log quick from 192.168.2.100/32 to any
block in log quick on ex0 from !192.168.0.0/24 to any
block in log quick on ex1 from !192.168.0.0/16 to any
block in log quick on ex0 from any to 192.168.0.0/24
block in log quick on ex1 from any to 192.168.1.0/24
block in log quick on ex1 from any to 192.168.2.0/24
block in log quick on ep0 from 192.168.0.0/24 to any
block in log quick on ep0 from 192.168.1.0/24 to any
block in log quick on ep0 from 192.168.2.0/24 to any
pass in quick proto 50 from any to any flags S/SA keep state keep frags
pass in quick proto 51 from any to any flags S/SA keep state keep frags
pass in quick proto tcp from any to 19.168.1.0/24 port = 22 flags S/SA keep state keep frags
pass in on ex0 proto tcp from any to any flags S/SA keep state keep frags
pass in on ex0 proto udp from any to any keep state keep frags
pass in on ex0 proto icmp from any to any keep state keep frags
pass in on ex1 proto tcp from any to any flags S/SA keep state keep frags
pass in on ex1 proto udp from any to any keep state keep frags
pass in on ex1 proto icmp from any to any keep state keep frags
pass in on ep0 proto icmp icmp-type echo from any to any keep state keep frags "
ep0 étant l'interface exterieure
ex0 et ex1 interieures
avec ex0 192.168.0.100
et un alias sur ex1 192.168.1.100 et 192.168.2.100
les règles sur les protocoles 50 et 51 permettent de laisser passer un tunnel IPsec