OpenBSD pf problème

[inviteb678b443]

Bonsoir tout le monde

Comme vous vous en doutez j'ai un ptit problème

J'essai de configurer mon réseau local comme ceci :

Code:

                    [(fxp0) - 100.0.100.10] -> [web server 1 (100.0.100.1)]
                                |
(Internet)  <----------> [OpenBSD (xl0)]
                                |
                    [(sis0) - 100.0.200.10] -> [web server 2 (100.0.200.1)]

En version texte, ça donne : Un pc sous OpenBSD configuré en nat et firewall est relié à internet. Dessus il y a 2 cartes reseaux (en plus de celle servant pour le net).
La 1ere, fxp0 a comme ip : 100.0.100.10 et dessus est branché un pc (100.0.100.1) avec serveur web sur le port 81.
La 2eme, sis0 a comme ip : 100.0.200.10 et dessus est branché un pc (100.0.200.1) avec serveur web sur le port 80.
Bon j'espère que c'est clair

Mon problème maintenant...
Je n'arrive pas à accéder aux serveurs web lorsque je viens du net (autrement dit quand je passe par mon ip publique). Par contre si j'essai d'atteindre un serveur web en étant sur l'autre, pas de problème...(autrement dit, ça ne vient pas de mes serveurs )

Merci de votre aide

mon pf.conf pour vous aider à m'aider

Code:

int_if = "fxp0"
ext_if = "xl0"
int1_if = "sis0"

tcp_services = "{ 22, 113 }"
icmp_types = "echoreq"

priv_nets = "{ 127.0.0.0/8, 100.0.100.0/16, 100.0.200.0/16, 10.0.0.0/8 }"

web_srv = "100.0.200.1"
web1_srv = "100.0.100.1"

set block-policy return
set loginterface $ext_if

scrub in all

nat on $ext_if from $int_if:network to any -> ($ext_if)
nat on $ext_if from $int1_if:network to any -> ($ext_if)

rdr on $int_if proto tcp from any to any port 21 -> 127.0.0.1 port 8021
rdr on $int1_if proto tcp from any to any port 21 -> 127.0.0.1 port 8021
rdr on $ext_if proto tcp from any to any port 80 -> $web_srv port 80
rdr on $ext_if proto tcp from any to any port 81 -> $web1_srv port 81

block all

pass quick on lo0 all

block drop in quick on $ext_if from $priv_nets to any
block drop out quick on $ext_if from any to $priv_nets

pass in on $ext_if inet proto tcp from any to ($ext_if) port $tcp_services flags S/SA keep state
pass in on $ext_if proto tcp from any to $web_srv port 80 flags S/SA synproxy state
pass in on $ext_if proto tcp from any to $web1_srv port 81 flags S/SA synproxy state
pass in on $ext_if inet proto tcp from port 20 to ($ext_if) user proxy flags S/SA keep state
pass in inet proto icmp all icmp-type $icmp_types keep state
pass in on $int_if from $int_if:network to any keep state
pass in on $int1_if from $int1_if:network to any keep state

pass out on $int_if from any to $int_if:network keep state
pass out on $int1_if from any to $int1_if:network keep state
pass out on $ext_if proto tcp all modulate state flags S/SA
pass out on $ext_if proto { udp, icmp } all keep state

-----

[inviteb678b443]

personne pout m'aider ? sniff

[inviteb678b443]

Tout le monde s'en fout ou personne n'est capable de m'aider ??

[JPL]

Première remarque : les adresses en 100 sont routables donc non disponibles librement. Normalement si tu as un PC faisant du NAT, tu dois avoir des IP privées en interne donc en 172.16.0..... ou 192.168.0....
Voir http://www.faqs.org/rfcs/rfc1597.html
Après, je ne sais pas.

[A voir en vidéo sur Futura]

[inviteb678b443]

salut

Merci de ta réponse

Malheureusement ça fonctionne pas non plus en essayant avec les 192.168... ou autres

Merci quand même

[JPL]

salut

Merci de ta réponse

Malheureusement ça fonctionne pas non plus en essayant avec les 192.168... ou autres

Merci quand même

Désolé de ne pouvoir faire plus. J'ai fait un peu de NAT il y a quelques années et le seul souvenir que j'en ai gardé c'est que quand ça ne marche pas il faut mettre les mains dans le camboui et disséquer le fichier de configuration. Donc à distance je suis incapable d'en dire plus (d'autant que je l'avais fait avec Linux et pas OpenBSD).
Bon courage.

[inviteb678b443]

merci tout de même de ton aide

jsuis sur que c'est un truc tout bête en plus.... arf

ciao

[inviteb865367f]

Idem, avec iptables je pourrai t'aider un peu plus, pf ...

Ce que je ferai c'est d'utiliser un sniffer genre ethereal pour voir ou est le problème exactement. Genre si tu vois des paquets SYN qui rentre et rien qui sort tu sais que les paquets sont dropés ..

Sinon à vu de pif, je suis pas certain que tes ports 80 et 81 soient ouverts de l'exterieur.
"pass in on $ext_if proto tcp from any to $web_srv port 80"

Haha oui mais le NAT est fait à la sortie de $int_if, donc les paquet venant de l'exterieur ne peuvent pas être dirigés à $web_srv:80 mais à ton ip publique:80(81)
Donc j'aurrai plutot mis :
""pass in on $ext_if proto tcp port 80"