---
date: 2019-10-31T12:38:55+02:00
description: "Exemple de règles pour gèrer les connexions du logiciel de scanner saned avec le parefeu Packet-Filter (PF)"
draft: false
tags: ['firewall','PF','Packet-Filter','saned','astuce']
title: "PF accepte de gèrer les connexions du scanner logiciel saned"
---

## Description

Normalement le port donné pour le service `sane` est le `6566` sur le protocole `tcp`. 

Il suffit donc d'écrire une règle équivalente : 

`pass out on egress proto tcp from egress to egress:network port 6566 flag S/SA modulate state`

---

### Cas d'une imprimante MFP Epson

Si vous avez une MFP de marque Epson, le port `1865` sur `udp` est celui qu'il faut contacter…
par défaut. *(d'autres sont possibles, dépendant de votre modèle)*

Mais une analyse de l'activité sur l'interface `pflog0`, par le biais de 
la fameuse commande `tcpdump -n -e -ttt -i pflog0` nous restitue qu'il 
envoie des paquets sur `udp` à l'attention du réseau local, puis interroge 
en envoyant des paquets broadcasts, avant d'obtenir une réponse de l'imprimante… <br>
bref, tout se passe en `udp`.

{{< code "sec-firewall-pf-saned-tcpdump-example" sh >}}

Le plus simple est d'autoriser le flux du protocole `udp` entrant et 
venant du réseau local vers ou depuis l'interface locale : 

`pass in quick on egress proto udp from egress to egress:network allow-opts` <br>
`pass in quick on egress proto udp from egress:network to egress allow-opts` <br>

---