Description
Astuce
Cet article peut très bien être utile pour le PF embarqué dans Debian GNU/kFreeBSD !
Suivant les recommandations que l’on retrouve sur mon autre article , à-propos des règles à mettre en place pour autoriser ou bloquer le flux ICMP, voici les règles PF adéquates, pour tout BSD qui utilise Packet Filter, dont OpenBSD :
Gestion
Les codes ICMP à rejeter
(…)
icmp_block_types="{ 4 6 15 16 17 18 31 32 33 34 35 36 37 38 39 }"
(…)
block drop quick on egress inet proto icmp icmp-type 3 code 6
block drop in quick on egress inet proto icmp icmp-type 3 code 7
block drop quick on egress inet proto icmp icmp-type 3 code 8
block drop quick on egress inet proto icmp icmp-type $icmp_block_types
(…)
Attention
Il semble que PF ne comprend pas les options 37,
38 (respectivement Domain Name Request, et Domain Name Reply) ;
du moins, il ne les traduit pas, comme il le fait très bien avec les autres options !
Les codes ICMP à autoriser
Info
L’équivalent
limit d’Iptables n’existe pas pour PF !
Il semble que c’est géré finement par le noyau BSD d’OpenBSD.(…)
icmp_types="{ 8 11 12 }"
(…)
block log
pass out
(…)
pass in quick on egress inet proto icmp from any to egress icmp-type { 3 code 3, 3 code 4 }
pass in quick on egress inet proto icmp from any to egress icmp-type $icmp_types
pass out quick on egress inet proto icmp from egress to any icmp-type { 3 code 3, 3 code 4 }
pass out quick on egress inet proto icmp from egress to any icmp-type $icmp_types
Bien-sûr, vous pouvez autoriser tous les autres codes qui peuvent être autorisés et dont les recommandations sont de limiter. Les trois codes mis en exergue sont un minima !