Puremessage 5.3 End User Management et le firewall IPF de FreeBSD

Posted on décembre 26th, 2006 by jerry.
Categories: Puremessage Unix.

Alors voila, je publie ce court post pour donner un coup de pouce à ceux qui ont passé quelques temps à résoudre le problème d’accès à l’interface End User Management de Puremessage au travers d’un firewall IPFilter(IPF) sur FreeBSD.

Le problème est le suivant: on n’arrive pas à accèder à l’interface utilisateur de Puremessage qui utilise le protocole HTTP sur le port 28080 ou HTTPS sur le port 28443. Apache réalise en fait une redirection des pages HTTP vers HTTPS. J’espère que je me fait comprendre. De toute façon, ceux qui sont confrontés à Puremessage voient de quoi je veux parler.

Voyons maintenant pourquoi ma configuration de IPF ne laisse pas passer mes requêtes sur le port 28080 et 28443…

Voici un extrait de mon fichier configuration /etc/ipf.rules de mon firewall FreeBSD possédant l’interface xl0 en entrée :

# Administration Sophos
pass in quick on xl0 proto tcp from any to 2**.***.138.68 port = 18080 keep state
pass in quick on xl0 proto tcp from any to 2**.***.138.68 port = 28080 keep state
pass in quick on xl0 proto tcp from any to 2**.***.138.68 port = 28443 keep state

Bien que correcte, cette configuration ne marche pas pour les ports 28080 et 28443. La barre de chargement du navigateur de la page de l’End User Interface commence à progresser avant d’afficher un timeout très frustrant…

La solution à ce problème est l’introduction du flag S ou flag SYN utilisé lors de l’initialisation d’une connection.
pass in quick on xl0 proto tcp from any to 2**.***.138.68 port = 18080 flags S keep state
pass in quick on xl0 proto tcp from any to 2**.***.138.68 port = 28080 flags S keep state
pass in quick on xl0 proto tcp from any to 2**.***.138.68 port = 28443 flags S keep state
Explication: Mettre le flag S implique que seuls les paquets ayant le flag S (poignet de main comme étant le premier paquet), ou les paquets disposants déjà d’un état pourront passer.

0 comments.