[OpenBSD] pf & nat

04/09/2006, 21h28

Bonjour,

Je m'arrache les cheveux depuis ce matin sur mon firewall. Pour ue
raison que j'ignore, il refuse de nater :/
Le pire est que ça a marché, mais que ça ne marche plus pour une raison
que je n'ai pas saisie. Pis j'ai pas mal trifouillé depuis, donc
impossible de revenir en arrière.

J'ai réduit le fichier de config à sa plus simple expression :
nat pass log on $dmz_if from $lan to any -> ($dmz_if)

Ce qui donne ceci une fois les macros étendues :

[root@fremen root]# pfctl -s nat
nat pass log on sis0 inet from 10.42.0.0/24 to any -> (sis0) round-robin

Il n'y a pas de filtrage :
[root@fremen root]# pfctl -s rules
scrub in all fragment reassemble

Pourtant, si je ping une machine de la dmz depuis le lan, pas de nat,
les paquets arrivent avec leur adresse d'origine
bastien@arrakeen:~$ sudo tcpdump -vv -i eth1 icmp
tcpdump: listening on eth1, link-type EN10MB (Ethernet), capture size 96
bytes
22:22:11.189603 IP (tos 0x0, ttl 63, id 0, offset 0, flags [DF], proto:
ICMP (1), length: 84) sandworm > arrakeen: ICMP echo request, id 19239,
seq 1, length 64

Les logs quand à eux restent désespérements vides.

J'oublie sans doute un truc, mais quoi ?

Merci,

--
Bastien

06/09/2006, 10h06

sysctl net.inet.ip.forwarding: 1
peut etre est-cela

bsdouille

06/09/2006, 10h57

bsdouille a écrit :
>
> sysctl net.inet.ip.forwarding: 1
> peut etre est-cela

>
> bsdouille
>
Non, il est à 1. S'il était resté à 0, il n'y aurait pas de
communication, même sans NAT. Or là, il route. Juste il ne natte pas, ce
qui est ennuyeux pour aller de 10/8 vers Internet

Merci quand même

--
Bastien

04/09/2006, 21h28	#1
Bastien Durel Messages: n/a Hébergeur:	[OpenBSD] pf & nat Bonjour, Je m'arrache les cheveux depuis ce matin sur mon firewall. Pour ue raison que j'ignore, il refuse de nater :/ Le pire est que ça a marché, mais que ça ne marche plus pour une raison que je n'ai pas saisie. Pis j'ai pas mal trifouillé depuis, donc impossible de revenir en arrière. J'ai réduit le fichier de config à sa plus simple expression : nat pass log on $dmz_if from $lan to any -> ($dmz_if) Ce qui donne ceci une fois les macros étendues : [root@fremen root]# pfctl -s nat nat pass log on sis0 inet from 10.42.0.0/24 to any -> (sis0) round-robin Il n'y a pas de filtrage : [root@fremen root]# pfctl -s rules scrub in all fragment reassemble Pourtant, si je ping une machine de la dmz depuis le lan, pas de nat, les paquets arrivent avec leur adresse d'origine bastien@arrakeen:~$ sudo tcpdump -vv -i eth1 icmp tcpdump: listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes 22:22:11.189603 IP (tos 0x0, ttl 63, id 0, offset 0, flags [DF], proto: ICMP (1), length: 84) sandworm > arrakeen: ICMP echo request, id 19239, seq 1, length 64 Les logs quand à eux restent désespérements vides. J'oublie sans doute un truc, mais quoi ? Merci, -- Bastien

06/09/2006, 10h06	#2
bsdouille Messages: n/a Hébergeur:	Re: pf & nat sysctl net.inet.ip.forwarding: 1 peut etre est-cela bsdouille

06/09/2006, 10h57	#3
Bastien Durel Messages: n/a Hébergeur:	Re: pf & nat bsdouille a écrit : > > sysctl net.inet.ip.forwarding: 1 > peut etre est-cela > > bsdouille > Non, il est à 1. S'il était resté à 0, il n'y aurait pas de communication, même sans NAT. Or là, il route. Juste il ne natte pas, ce qui est ennuyeux pour aller de 10/8 vers Internet Merci quand même -- Bastien

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email