Description
Normalement le port donné pour le service sane est le 6566 sur le protocole tcp.
Il suffit donc d’écrire une règle équivalente :
pass out on egress proto tcp from egress to egress:network port 6566 flag S/SA modulate state
Cas d’une imprimante MFP Epson
Si vous avez une MFP de marque Epson, le port 1865 sur udp est celui qu’il faut contacter…
par défaut. (d’autres sont possibles, dépendant de votre modèle)
Mais une analyse de l’activité sur l’interface pflog0, par le biais de
la fameuse commande tcpdump -n -e -ttt -i pflog0 nous restitue qu’il
envoie des paquets sur udp à l’attention du réseau local, puis interroge
en envoyant des paquets broadcasts, avant d’obtenir une réponse de l’imprimante…
bref, tout se passe en udp.
Code : sh
Oct 10 13:15:25.146815 rule 53/(match) block in on axe0: 192.168.1.2.8612 > 192.168.1.255.8612: udp 16
Oct 10 13:15:25.146890 rule 53/(match) block in on axe0: 192.168.1.2.8612 > 192.168.1.255.8610: udp 16
Oct 10 13:15:25.158437 rule 53/(match) block in on axe0: 192.168.1.2.8612 > 192.168.1.255.8612: udp 16
Oct 10 13:15:25.158493 rule 53/(match) block in on axe0: 192.168.1.2.8612 > 192.168.1.255.8610: udp 16
Oct 10 13:15:30.007313 rule 53/(match) block in on axe0: 192.168.1.2.4891 > 255.255.255.255.3289: udp 15 [ttl 1]
Oct 10 13:15:30.020862 rule 53/(match) block in on axe0: 192.168.1.3.3289 > 192.168.1.2.4891: udp 76
Oct 10 13:15:31.171140 rule 53/(match) block in on axe0: 192.168.1.2.17068 > 255.255.255.255.1124: udp 37 [ttl 1]
Le plus simple est d’autoriser le flux du protocole udp entrant et
venant du réseau local vers ou depuis l’interface locale :
pass in quick on egress proto udp from egress to egress:network allow-opts
pass in quick on egress proto udp from egress:network to egress allow-opts