Moyen hein ?<\/p>\n
Apr\u00e8s tout, vous obligez bien vos utilisateurs \u00e0 passer par un proxy Squid<\/a> pour aller sur le Web, pourquoi ne pas faire pareil avec vos connexions entrantes TCP ?…<\/p>\n Voila ce que nous allons mettre en place :<\/p>\n Sch\u00e9ma<\/p><\/div>\n Et qui a la plus de comp\u00e9tences pour g\u00e9rer le 3-way handshake a la place des autres ? Qui a la plus grosse quand on parle de couche r\u00e9seau ?<\/p>\n R\u00e9ponse : OpenBSD<\/a> forcement<\/p>\n Nous allons partir du principe que vous d\u00e9sirez offrir un acc\u00e8s SMTP sur la machine LAN-MAIL depuis le Nain Ternet.<\/p>\n L’adressage utilis\u00e9e sera le suivant (et comme toujours un dessin valant mieux qu’un grand discours) :<\/p>\n Sch\u00e9ma<\/p><\/div>\n Cot\u00e9 Firewall, redirection toute simple, tout ce qui entre sur le port 25 SMTP depuis le Net sur l’interface externe est redirig\u00e9 sur 10.154.1.1 port 25 (ou autre hein, c’est vous qui voyez).<\/p>\n La, c’est du truc habituel, rien de bien sorcier.<\/p>\n Cot\u00e9 OpenBSD, on va se monter un petit socket :<\/p>\n On reload le process inetd<\/p>\n Explication, on utilise netcat pour \u00e9tablir une connexion tcp vers LAN-MAIL sur le port 25 quand une requ\u00e8te TCP arrive sur son port 5025 en localhost.<\/p>\n Maintenant on s’attaque \u00e0 la couche la plus poilue, Packet Filter :<\/p>\n (wan_if \u00e9tant l’interface sis0 dans le sch\u00e9ma)<\/p>\n Et c’est tout.<\/p>\n Bien \u00e9videmment vous avez d\u00e9j\u00e0 un beau PF configur\u00e9 avec toutes les options qui vont bien, antispoof, scrub in all et tout, et tout…<\/p>\n J’ai volontairement simplifi\u00e9 l’architecture et les r\u00e8gles, alors ne me criez pas dessus \ud83d\ude00<\/p>\n Et ca fait quoi donc maintenant ce joli truc ?<\/p>\n Cela fait que d\u00e9sormais, c’est l’OpenBSD qui va traiter la connexion entrante, l’accepter, ouvrir une nouvelle connexion vers LAN-MAIL et v\u00e9hiculer les paquets vers lui.<\/p>\n Toute la phase d’\u00e9change TCP sera trait\u00e9e par le BSD et c’est avec lui que le client discutera directement.<\/p>\n Bref, l’OpenBSD joue le r\u00f4le de Proxy TCP \ud83d\ude42<\/p>\n Voila pour ce petit exercice que je vous laisse peaufiner et qui peut vous d\u00e9patouiller d’architectures un peu compliqu\u00e9s ou surtout, de connexions TCP moisies entre le Firewall et le Serveur final.<\/p>\n P.S. : Attention avec le protocole FTP, ce n’est aussi simple que cela y parait. Je vous conseille fortement d’utiliser le programme ftp-proxy d’openBSD (surtout si vous voulez redirigez vos requ\u00eates FTP externes vers le FTP de votre Freebox HD par exemple \ud83d\ude09 )<\/p>\n","protected":false},"excerpt":{"rendered":" Ce billet est un petit exercice de style \ud83d\ude42 Dans le cadre d’une architecture \u00ab\u00a0standard\u00a0\u00bb, vous disposez d’un routeur qui vous donne acc\u00e8s au Nain Ternet, un firewall d\u00e9di\u00e9 et vos serveurs. Les serveurs d\u00e9di\u00e9s \u00e0 offrir des services aux … Read More ![\"Sch\u00e9ma\"](\"http:\/\/blog.guiguiabloc.fr\/wp-content\/mandatairetcp-253x300.png\" "\\"mandatairetcp\\"")
<\/a>![\"Sch\u00e9ma\"](\"http:\/\/blog.guiguiabloc.fr\/wp-content\/proxytcp-1-256x300.png\" "\\"proxytcp-1\\"")
<\/a>vi \/etc\/inetd.conf\r\n\r\n127.0.0.1:5025 stream tcp nowait nobody \/usr\/bin\/nc nc 192.168.0.50 25<\/pre>\n
Puffy:~# ps aux | grep inetd\r\nroot 24243 0.0 0.3 524 780 ?? Is 26Sep08 0:18.06 inetd\r\nroot 30919 0.0 0.3 472 764 p0 S+ 11:23AM 0:00.02 grep inetd\r\nPuffy:~# kill -HUP 24243<\/pre>\n
pf.conf\r\n\r\nrdr pass on $wan_if inet proto tcp from any to $wan_if port 25 --> 127.0.0.1 port 5025\r\npass in quick inet proto tcp from any to 127.0.0.1 port 5025<\/pre>\n