Journal LFS comme base pour monter un firewall.

Posté par  .
Étiquettes : aucune
0
9
sept.
2003
Je me lance cet aprem' dans l'installation d'un LFS, version 4.1 pour reconvertir un 'vieux' PC en firewall.
Le but de la manoeuvre, dans l'immédiat, c'est d'avoir juste un système bootable avec iptable. Rien d'autre.
Dans l'immédiat, je vais me contenter d'installer tout ça sur un hdd (un 4.3Go fera l'affaire, même si c'est de trop, je n'ai que ça sous la main).
Côté archi, je vais me contenter d'un pentium 233 MMX, sur une CM PA2007 (1Mo de cache de second niveau), une Matrox Mystique 4Mo pour la video, et une Netgear FA310 pour le réseau.
Ce système sera interfacé chez moi entre mon routeur ADSL (un zyxel 642R dont je me débarasserai par la suite) et mon réseau domestique.
Pourquoi un tel changement ? Le Zyxel n'accepte que 256 connections simultanées, ce qui est déjà (hé oui) insuffisant lorsqu'il y a trois PC sur le réseau. Il me semble qu'une pile TCP gérée par notre pingouin devrait faire mieux, non ? De plus, pour le nat, il n'y a que 8 ports TCP de redirigeables. Entre autres choses.
Dans le futur, j'aimerai me passer de tout ce qui me parait supperflu : le disque dur, éventuellement le lecteur CD. Avoir juste un système qui boot (sur quoi, je ne sais pas encore ? CDRW, clef usb ? disquette ?). Les éventuels conseils sont les bienvenus.

  • # Re: LFS comme base pour monter un firewall.

    Posté par  (site web personnel) . Évalué à 1.

    Je te conseille de tanner Didbaba http://didbaba.tuxfamily.org/(...) , pour qu'il remette en ligne son Constructeur.
    C'est un ensemble de script qui permet d'automatiser l'installation d'un LFS ... et est plus simple a modifier que aLFS ...

    Sinon patience ... sur ma passerelle, un cyrix 150+, il m'a fallut 18 heures ;o))

    • [^] # Re: LFS comme base pour monter un firewall.

      Posté par  . Évalué à 2.

      Je n'en suis pas à mon premier LFS. J'en ai déjà installé au moins 4 qui tournent toujours aujourd'hui.
      Je ne suis pas pressé, en effet. Mais, je me demande si tout ce qui est prévu dans le LFS-bouquin est indispensable au bon fonctionnement d'une machine sur laquelle je n'ai -à priori- nul besoin de groff, grep, man, des pages de manuel, de gcc (sauf pour l'install), de gzip et autres outils d'archivages.... Bref, je n'ai besoin que du noyeau, d'un éditeur (vi de préférence) pour modifier les règles iptables, et c'est tout. Il faut que j'étudie tout ça !

      • [^] # Re: LFS comme base pour monter un firewall.

        Posté par  (site web personnel) . Évalué à 1.

        Je ne crois pas que ce soit une bonne idée de virer un logiciel du LFS de base, car ils sont la plupart du temps indispensable, même pour un Linux minimal, tu risques de perdre du temps à cause des dépendances qui ne serait plus satisfaites.

      • [^] # Re: LFS comme base pour monter un firewall.

        Posté par  (site web personnel) . Évalué à 1.

        Tout dépend, si la machine sur laquelle tu installes ta LFS est la même machine que celle ou tu compiles les sources...
        mais décompresser une tarball sans gzip, ça va être dur je crois.
        A forciori, c'est assez bien expliqué dans le bouquin pour virer les trucs inutiles, même si je ne vois pas trop l'intérêt de virer groff (à quand le buffer-overflow dans groff qui n'est même pas suid...).
        par contre, tu peux contrôler le reste de ce que tu installes.

  • # Re: LFS comme base pour monter un firewall.

    Posté par  (site web personnel, Mastodon) . Évalué à 3.

    Et si tu regardais du côté de coyote linux ? http://www.coyotelinux.com(...)

    Features:

    * Linux 2.4.20 based system kernel
    * Iptables based stateful firewalling
    * Bare minimum of hardware requirements
    * Support for Ethernet (static and DHCP), PPPoE, and PPP dialup internet connections.
    * No hard drive or CD-ROM required for firewall operation
    * Excellent uptime and operating system reliability
    * SSH 2.0 and web based remote administration options
    * No-cost alternative that can make use of old hardware that may have otherwise lost its usefulness.
    * Easily shares an Internet connection with hundreds of LAN clients (adequate hardware and Internet connectivity required).


    System Requirements:

    * 486DX/25 or better processor*
    * 12Mb RAM
    * 1.44Mb floppy drive
    * Network interface card for LAN
    * Network interface card or serial dialup modem for Internet connection
    * VGA display adapter

    • [^] # Re: LFS comme base pour monter un firewall.

      Posté par  . Évalué à 1.

      Yes ! On a eu le même réflexe....
      Avant de me lancer, j'ai voulu jeter un oeil à l'existant, et je dois dire que ça n'a pas l'air mal. J'ai téléchargé, et constitué une disquette de boot. J'attends que ma femme m'apporte le PC qui va me servir à faire des tests.
      Il y a aussi Smoothwall.... Mais bon, je ne vais pas tous les essayer.
      En tout cas, coyote est déjà un bon point de départ, quitte à ce que je me constitue ma propre version en observant la leur.... plus tard. Pour l'instant, je veux voir à quoi ça ressemble.

    • [^] # Re: LFS comme base pour monter un firewall.

      Posté par  . Évalué à 1.

      ah ben c'est intéressant ça, y a qques semaines ct un linux 2.2 pour la coyote, et j'avais pas envie de me taper la doc d'ipchains :)

    • [^] # Re: LFS comme base pour monter un firewall.

      Posté par  . Évalué à 1.

      à ce propos, qqun connaitrait une distrib du type coyote contenant
      tout ce qu'il faut pour fonctionner avec un speedtouch usb ?
      (le firmware de la bete pesant un peu plus d'une demi tonne, le
      challenge est corsé).

      La gent féminine, pas la "gente", pas de "e" ! La gent féminine ! Et ça se prononce comme "gens". Pas "jante".

      • [^] # Re: LFS comme base pour monter un firewall.

        Posté par  . Évalué à 1.

        D'après ce que j'ai pu voir de la coyote (j'ai juste configuré un truc bidon pour voir comment ça tourne...), j'ai relevé les points suivants :

        - Le système est monté sur un ramdisk.
        - Il semble y avoir un fichier .tgz par répertoire 'clef' (genre etc, usr ...).
        - Le clavier, c'est qwerty, pas moyen de passer à autre chose (je découvre, j'ai pas cherché à fond non plus).
        - L'éditeur, c'est nedit (il me semble), et j'aime pas. J'aurais préféré un vi ou compatible...

        Pour le firmware, tu peux probablement le charger dans l'un des .tgz ?

        Vu qu'il (l'auteur de coyote) a su monter en auto des fichiers .tgz, il serait peut-être possible de faire de même avec des .tar.bz2 ? Je n'ai aucune idée sur la question, mais il me semble de d'ordinaire les bz2 sont moins lourds que les gz....

      • [^] # Re: LFS comme base pour monter un firewall.

        Posté par  . Évalué à 1.

        Je ne peux malheureusement y jeter un oeil du boulot mais http://www.distrowatch.com/(...) est ton ami...
        Les distributions sont regroupées par thème, notamment les Live-on-CD et, de mémoire, une distrib' Eagle qui constitue un tutorial pour faire sa propre distribution. Je suis persuadé qu'il y en avait quelques unes dédiées à l'administration, qui peuvent peut-être adaptées...

        bonne lecture

        PS: les outils LFS comme grep ou même genre sont utiles pour réaliser des scripts iptables, ou autres, un tant soit peu génériques (collecte des infos rézo)...

      • [^] # Re: LFS comme base pour monter un firewall.

        Posté par  . Évalué à 2.

        ip-cop peut etre

        • [^] # Re: LFS comme base pour monter un firewall.

          Posté par  . Évalué à 2.

          Je viens de tester ip-cop : impossible de l'installer....
          Après avoir détruit les partitions du disque dur existantes et reformatté le tout sans même me laisser le choix de dimensionner le tout à mon idée, il échoue lamentablement sur un chroot censé lancer un depmod -a, mais la commande depmod est introuvable. Après coup, il redémarre et refuse de booter sur le disque dur.... Je tente autre chose....

  • # Re: LFS comme base pour monter un firewall.

    Posté par  . Évalué à 1.

    Je vais peut-être dire une connerie, mais c'est vraiment adapté une LFS pour un firewall ? Ca veut quand même dire appliquer tous les patchs à la mano sur les alertes de sécurité etc ... en administration c'est lourdingue non ?

    Pourquoi pas tenter de fabriquer une distrib bootable "à la knoppix" en profitant d'un système de package d'une distrib (au hasard debian) qui permette les mises à jour de sécurité facilement ? Il me semble que le LUG de Paris (parinux) avait un projet pour monter une petite "distrib" basée sur debian pour monter des passerelles / firewall. Le projet s'appelle Vauban mais je ne sais pas où il en est.

  • # Re: LFS comme base pour monter un firewall.

    Posté par  . Évalué à 2.

    Dans le futur, j'aimerai me passer de tout ce qui me parait supperflu : le disque dur, éventuellement le lecteur CD. Avoir juste un système qui boot (sur quoi, je ne sais pas encore ? CDRW, clef usb ? disquette ?). Les éventuels conseils sont les bienvenus.


    Moi j'opterais pour une carte CompactFlash avec ça :
    http://www.ant-computing.com/v0/v0-flash.html(...)

    PS : il en existe des versions commerciales toutes faites si un fer à souder te rebute. Sinon, doit y avoir moyen de trouver une bonne âme de tes amis qui est capable de faire un truc pareil.
    PS2 : j'ai moi-même un beau fer à souder très classe : un Weller WS-50... Mais bon. Je dis ça comme ça...

    David

    • [^] # Re: LFS comme base pour monter un firewall.

      Posté par  . Évalué à 1.

      En effet, ça a l'air pas mal.
      Sinon, le gars qui a développé routerlinux (cf. http://www.routerlinux.com/(...) ) propose un truc qui me semble même encore mieux : un PC pour 50 $ TTC obtenu sur ebay ?
      Il s'agit d'un GCT Allwell 1030N. Je ne connaissait pas.
      sur leur site :
      http://www.allwell.tv/Products/Set_Top_Box/STB1030_3036/stb1030_303(...)
      il y a plus de détails.
      Apparement, combiner les 2 ne semble pas infaisable, et ne devrait pas coûter trop cher. Une solution de plus....

      • [^] # Re: LFS comme base pour monter un firewall.

        Posté par  . Évalué à 1.

        Sauf que je ne sais pas comment on trouve une telle machine... Il y a toujours les nouvelles cartes mères pour mini-PC, ou genre Epia qui ont aussi un CPU fanless mais ca coute cher.. Alors pourquoi pas trouver un vieux PC avec un gros radiateur et le CPU downclocké... A tester.
        Si tu trouve une solution vraiment intéressante, je suis preneur d'info.
        David

        • [^] # Re: LFS comme base pour monter un firewall.

          Posté par  . Évalué à 2.

          Pour l'instant, je pencherai plutôt vers la solution suivante :
          - Vieille carte mère format AT FIC PA2007 chipset via, 1Mo de cache de second niveau.
          - Processeur : intel Pentium 233 MMX
          - 512 Mo SDRAM
          - Disque dur 4.3 Go (peut être pratique pour eMule, à l'étude pour l'instant).
          - Carte réseau NetGear FA310 (10/100)
          - Modem ADSL PCI (peut-être celui proposé par pearl diffusion pour 69€90, je leur ai demandé les infos de compatibilité et de perf ce soir.).
          - Carte video Matrox mystique 4Mo (j'ai pas plus vieux).

          - Les lecteurs de CDROM et de Disquette seront retirés après l'install (pour que ça ne consomme pas de trop).
          - Pas de carte son, rien de superflu.

          Côté soft (enfin distro), je m'oriente pour l'instant soit vers l'une de celles proposées ici :
          http://www.distrowatch.com/dwres.php?resource=firewalls(...)
          soit vers une distrib développée par des collègues, mais je ne sais pas si je peux l'utiliser ou même en parler, donc chut ! soit me confectionner un système sur mesure avec un LFS....
          Voici l'état des choses pour l'instant.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.