|

»

openbsd - France

PF : bloquer une connexion sur un port précis

View: New views

3 Messages — Rating Filter: Alert me

	PF : bloquer une connexion sur un port précis by nicoelro :: Rate this Message: Reply to Author \| View Threaded \| Show Only this Message Bonjour, Sur PF, j'ai un array avec certaines IPs que je ne veux pas voir me connecter sur ma machine. Avec un : block in quick from <ip-banned> Ok plus rien ne passe. Mais c'est un peu trop radical à mon goût. J'aimerais seulement leur interdire des connexions sur certains ports (22/tcp par exemple). Alors je fais un : block in quick proto tcp from <ip-banned> port ssh Mais là, si l'IP en question lance une connexion SSH, elle passse ! Pouvez-vous m'expliquer, et m'indiquer comment corriger ma règle pour qu'elle fonctionne ? Merci. Cordialement, -- Nicolas ________________________________ French OpenBSD mailing list misc@... http://www.openbsd-france.org/ml
	Re: PF : bloquer une connexion sur un port précis by Julien Escario :: Rate this Message: Reply to Author \| View Threaded \| Show Only this Message Nicolas Letellier a écrit : > Bonjour, Salut, > Sur PF, j'ai un array avec certaines IPs que je ne veux pas voir me > connecter sur ma machine. Avec un : > > block in quick from <ip-banned> > > Ok plus rien ne passe. Mais c'est un peu trop radical à mon goût. > J'aimerais seulement leur interdire des connexions sur certains ports > (22/tcp par exemple). Alors je fais un : > > block in quick proto tcp from <ip-banned> port ssh > > Mais là, si l'IP en question lance une connexion SSH, elle passse ! Oui parce que tu matches sur le port source (from) qui n'est jamais 22 pour un client (d'ailleurs, c'est aléatoire, tu ne peux pas le connaître). C'est le port de dest qu'il faut tester : block in quick proto tcp from <ip-banned> to port ssh Si c'est le brute force que tu veux limiter, je te propose : pass in on rl1 proto tcp from any to rl1 port ssh \ flags S/SA keep state \ (max-src-conn-rate 3/30, overload <ssh-bruteforce> flush global) A modifier suivant l'interface, bien sûr ... Là, si il y a plus de 3 connexions en 30 secondes, le client dégage. Il faut ensuite faire des flush pour virer les IPs de la table. Julien ________________________________ French OpenBSD mailing list misc@... http://www.openbsd-france.org/ml
	Re: PF : bloquer une connexion sur un port précis by nicoelro :: Rate this Message: Reply to Author \| View Threaded \| Show Only this Message Le Thu, 11 Jun 2009 11:16:16 +0200, Julien Escario <escario@...> a écrit : > Oui parce que tu matches sur le port source (from) qui n'est jamais > 22 pour un client (d'ailleurs, c'est aléatoire, tu ne peux pas le > connaître). C'est le port de dest qu'il faut tester : > > block in quick proto tcp from <ip-banned> to port ssh Ah d'accord, je pensais que "par défaut", ça prenait le dest port. > Si c'est le brute force que tu veux limiter, je te propose : > > pass in on rl1 proto tcp from any to rl1 port ssh \ > flags S/SA keep state \ > (max-src-conn-rate 3/30, overload <ssh-bruteforce> flush > global) > > A modifier suivant l'interface, bien sûr ... > Là, si il y a plus de 3 connexions en 30 secondes, le client dégage. > Il faut ensuite faire des flush pour virer les IPs de la table. Oui j'ai déjà un truc semblable :-) Merci en tout cas ! -- Nicolas ________________________________ French OpenBSD mailing list misc@... http://www.openbsd-france.org/ml