Salut journal
J'ai un p'tit souci de compétence, et j'espère que tu vas pouvoir m'aider, ou du moins me guider vers la doc qu'il me faut parmi les innombrables qui existent.
Voilà, je me monte un réseau local, avec un serveur/firewall pour me protégre des vilains d'internet. Pour l'instant je n'ai pas le net, donc je ne me soucis pas de savoir si ma protection est bonne, mais j'y pense.
Ce que je veux, c'est avoir un réseau sécurisé un minimum de l'extérieur, tout en permettant plein de chose de l'intérieur :-)
Je n'ai qu'un serveur, et je veux mettre un DNS (bind), un serveur web (apache), un serveur ftp (proftpd), un serveur NIS (là je sais pas encore), un serveur mail (je suis pas décidé pour ça non plus), et un partage de fichiers (nfs, samba, je sais pas).
Alors
1) est-ce qu'en coupant bien les accès des différents services sur l'interface réseau liée au net, c'est suffisant, ou j'ai un gros risque en faisant tourner mes services sur le firewall
2) Sais-tu quel service de messagerie est le plus simple/sécurisé pour mon petit réseau local (qmail, etc..)
3) pour le serveur NIS, sais-tu ce que je dois utiliser, et où trouver des docs récentes (j'ai entendu parler de NIS+, mais je ne sais pas ce qu'il y a de plus par rapport NIS).
4) pour le partage de fichiers, toutes les machines sont sous Linux, mais à ce qu'il paraît, NFS c'est pas top niveau sécurité et quand ça tombe c'est le bordel. Est-ce que samba est bien adapté pour des configs linux-only (ça implique le service samba sur le serveur, et un client samba sur chaque machine, c'est un peu le marteau pour déboucher un bon vin non ?)
Merci de tes commentaires, et si tu as des liens vers des docs claires et récentes, n'hésite pas (j'ai déjà survolé les HOWTO correspondants, mais soit ils sont trop vieux, soit c'est un pavé que je suis découragé à l'avance de lire).
Journal Routage et Firewall
26
avr.
2004
# Re: Routage et Firewall
Posté par Olivier (site web personnel) . Évalué à 2.
1) Cette doc ( http://olivieraj.free.fr/fr/linux/information/firewall/(...) ) que j'ai ecrit répond à ta question. La partie II explique comment restreindre l'accès de tes demons aux seuls interfaces réseaux internes. Mais le début du III ( http://olivieraj.free.fr/fr/linux/information/firewall/fw-03-01.htm(...) ) t'explique que cette protection n'est pas suffisante : Netfilter est donc obligatoire sur la machine.
Quand à savoir si c'est sécurisé ou non, cela va dépendre de l'importance de la sécurité de ton réseau. Dans un cadre de réseau personnel, et si AUCUN(*) démon n'écoute depuis l'interfaces Internet, le risque est acceptable. Dans le cas d'un réseau d'enreprise, c'est inadmissible.
(*): Tu parles de serveur de mail à mettre sur la machine serveurs/firewall/passerelle. Tu veux heberger ton propre serveur de mail (MX) accessible depuis l'exterieur ? Donc avec un port 25 ouvert ? Dans ce cas là, ce n'est pas acceptable de tout mettre sur la même machine. Si par contre ce serveur de mail ne fera que du relayhost pour ton réseau local, alors oui, c'est accpetable
2) Postfix
3) Aucune idée. Attention cependant aux problèmes de droit d'accès pour le NFS. Il faut que tu ais confience dans les machines de ton réseau : Personne ne doit pouvoir y accéder physiquement, avec une machine dont tu ne contrôle pas l'utilisateur root. Voir à ce sujet cette récente discussion : http://linuxfr.org/~bobert/11886.html(...)
4) En terme purement de perfs Samba est moins bien adapté aux réseaux Linux. Mais cela marche bien quand même. Un truc que j'ai trouvé de pénible avec Samba : Lorsque tu écris un gros fichier (quelques centaines de Mo par exemple) sur un serveur Samba, celui-ci commence par reserver sur le disque dur l'espace qui va être occupé. Et cela prend du temps. Coté client, on a l'impression que le transfert ne commence pas, c'est assez pénible...
[^] # Re: Routage et Firewall
Posté par rgill . Évalué à 1.
Aucun service n'est ouvert sur l'extérieur, sinon je sais qu'il y a toujours moyen de rentrer en utilisant une faille liée à un protocole et/ou le soft qui gère ce protocole.
[^] # Re: Routage et Firewall
Posté par Olivier (site web personnel) . Évalué à 1.
J'utilise cette configuration depuis pas mal de temps :
- "fetchmail" pour récupérer les mails auprès des FAI
- "postfix" pour gérer et stocker les mails
- demon "pop3" ou "imap" pour intérogger les boîtes à lettres via mes clients de mails.
Cela marche sans souccis.
[^] # Re: Routage et Firewall
Posté par rgill . Évalué à 1.
(et merci encore pour le lien sur ton document)
# Re: Routage et Firewall
Posté par Bernez . Évalué à 1.
2) EXIM http://www.fr.exim.org/docs.html(...)
3) NIS c'est dépassé. Faut utiliser LDAP à la place. Je te conseille bien entendu le logiciel OpenLDAP.
4) NFS c'est pas top sécurisé mais si tu fais confiance à ton LAN, c'est pas un problème. NFS c'est performant et trivial à mettre en place.
[^] # Re: Routage et Firewall
Posté par rgill . Évalué à 1.
Je ne connais pas Exim (enfin les autres non plus, mais celui-là même pas de nom :-)), je vais quand même comparer avec postfix pour voir.
LDAP, tiens je n'y avais pas pensé, ça peut être intéressant (en espérant que ce n'est pas trop la galère à mettre en oeuvre (je regarde openldap).
Apparemment à part la sécurité il n'y a pas l'air d'avoir trop de problème avec NFS, et effectivement après avoir lu un tuto, c'est vraiment simple à mettre en place.
Merci de ta réponse
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.