---
date: 2019-10-31T12:38:55+02:00
description: "Exemple de règles pour gèrer les connexions du logiciel de scanner saned avec le parefeu Packet-Filter (PF)"
draft: false
tags: ['firewall','PF','Packet-Filter','saned','astuce']
title: "PF accepte de gèrer les connexions du scanner logiciel saned"
---
## Description
Normalement le port donné pour le service `sane` est le `6566` sur le protocole `tcp`.
Il suffit donc d'écrire une règle équivalente :
`pass out on egress proto tcp from egress to egress:network port 6566 flag S/SA modulate state`
---
### Cas d'une imprimante MFP Epson
Si vous avez une MFP de marque Epson, le port `1865` sur `udp` est celui qu'il faut contacter…
par défaut. *(d'autres sont possibles, dépendant de votre modèle)*
Mais une analyse de l'activité sur l'interface `pflog0`, par le biais de
la fameuse commande `tcpdump -n -e -ttt -i pflog0` nous restitue qu'il
envoie des paquets sur `udp` à l'attention du réseau local, puis interroge
en envoyant des paquets broadcasts, avant d'obtenir une réponse de l'imprimante…
bref, tout se passe en `udp`.
{{< code "sec-firewall-pf-saned-tcpdump-example" sh >}}
Le plus simple est d'autoriser le flux du protocole `udp` entrant et
venant du réseau local vers ou depuis l'interface locale :
`pass in quick on egress proto udp from egress to egress:network allow-opts`
`pass in quick on egress proto udp from egress:network to egress allow-opts`
---