Description
Astuce
Cet article peut très bien être utile pour le PF embarqué dans Debian GNU/kFreeBSD !
Suivant les recommandations que l’on retrouve sur mon autre article , à-propos des règles à mettre en place pour autoriser ou bloquer le flux ICMP, voici les règles PF adéquates, pour tout BSD qui utilise Packet Filter, dont OpenBSD :
Gestion
Les codes ICMP à rejeter
(…)
icmp_block_types="{ 4 6 15 16 17 18 31 32 33 34 35 36 37 38 39 }"
(…)
block drop quick on egress inet proto icmp icmp-type 3 code 6
block drop in quick on egress inet proto icmp icmp-type 3 code 7
block drop quick on egress inet proto icmp icmp-type 3 code 8
block drop quick on egress inet proto icmp icmp-type $icmp_block_types
(…)
Attention
Il semble que PF ne comprend pas les options 37,
38 (respectivement Domain Name Request, et Domain Name Reply) ;
du moins, il ne les traduit pas, comme il le fait très bien avec les autres options !
Les codes ICMP à autoriser
Info
L’équivalent
Il semble que c’est géré finement par le noyau BSD d’OpenBSD.
limit d’Iptables n’existe pas pour PF !Il semble que c’est géré finement par le noyau BSD d’OpenBSD.
(…)
icmp_types="{ 8 11 12 }"
(…)
block log
pass out
(…)
pass in quick on egress inet proto icmp from any to egress icmp-type { 3 code 3, 3 code 4 }
pass in quick on egress inet proto icmp from any to egress icmp-type $icmp_types
pass out quick on egress inet proto icmp from egress to any icmp-type { 3 code 3, 3 code 4 }
pass out quick on egress inet proto icmp from egress to any icmp-type $icmp_types
Bien-sûr, vous pouvez autoriser tous les autres codes qui peuvent être autorisés et dont les recommandations sont de limiter. Les trois codes mis en exergue sont un minima !