Bonjour la liste,
Je lance peut être le fameux troll tant attendu mais je vous assure que ma
question est innocente. (certains diront peut être aussi que cette question n'a
rien à faire sur la liste).
Bref, je suis en train de réfléchir à une nouvelle méthode de firewalling sur
mon réseau.
En gros, j'ai deux routeurs OpenBSD (à jour) qui font tourner openbgpd, j'en
suis trés content. Mon réseau ne nécessitant pas plus gros pour le moment.
Derrière, j'ai des serveurs avec IP publique.
Jusqu'à présent, j'ai mis quelques règles avec pf qui me permettent de prévenir
les attaques grossières.
Maintenant, j'aimerais firewaller complètement une machine qui est derrière. Le
soucis avec pf, c'est qui n'a pas le fameux ftp_conntrack que l'on peut trouver
dans iptables/netfilter. La solution qui semble préconisée est l'utilisation de
ftp-proxy. Oui, ca marche MAIS le serveur FTP qui est derrière voit toutes les
connexions entrantes comme provenant du routeur. Pas terrible pour les questions
de quota par IP/sessions, les stats et tout ça ... La solution n'est pas
vraiment acceptable.
D'où ma question : existe t'il un moyen de faire ça plus proprement ou je suis
parti pour planter des machines en plus qui feront firewall ? (proprio ou
iptables, je me poserais cette question plus tard).
Une idée ?
Merci d'avance.
Julien
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/