* Cédric - 30-10-2013 à 10h02: > En fait pour être plus concis, on rencontre des problèmes de timeout (?) > sur le traffic entrant / sortant lorsqu'un active PF sur nous routeurs BGP. > Nous n'avons pas réussi à voir d'ou venait le problème. Dès qu'on désactive > PF tout fonctionne a merveille. > > Venant du monde iptables, je suis un peu perdu par le fait qu'il n'y ai pas > de notion de "forward" dans PF, juste du filtrage sur "in" et "out".
Ça ne viendrait pas tout simplement d'une asymétrie quelque part dans le routing et qui ferait que le firewall stateful ne s'y retrouve pas ? J'ai déjà eu le problème et à part explicitement ajouter un "no state" sur les règles pass in & pass out concernant le trafic potentiellement concerné je n'ai pas vraiment trouvé de solution. On peut aussi utiliser pfsync & defer sur le ou les routeurs bgp mais ça induit une certaine latence au moment d'établir une connexion (tcp par exemple), le temps que le state soit propagé. > Cordialement, > Cédric > > > Le 29 octobre 2013 21:54, <[email protected]> a écrit : > > > Comment peut on avoir des problèmes liés a PF. > > Mes expériences avec PF ne m'ont justement apporté que des solutions ;) > > > > > > Le 2013-10-29 15:47, Breizhad Rico a écrit : > > > >> Bonjour, > >> > >> Nous sommes à la recherche d'un consultant openBSD qui pourrait nous aider > >> à : > >> - résoudre des problèmes liés à PF > >> - auditer / sécuriser un openbgpd en vue d'un prochain déploiement. > >> > >> Merci de me contacter off-list pour plus de détails ! > >> > >> Cédric > >> > >> --------------------------- > >> Liste de diffusion du FRnOG > >> http://www.frnog.org/ > >> > > > > > > --------------------------- > > Liste de diffusion du FRnOG > > http://www.frnog.org/ > > > > --------------------------- > Liste de diffusion du FRnOG > http://www.frnog.org/ -- Rémi Laurent Phone: +352 26 10 30 61 General Support: [email protected] GPG FP: 27F4 6810 2B0E 1AA0 CDAE 7C7B 3DC9 085A 0FA0 0601
signature.asc
Description: Digital signature
