Journal Routage et Firewall

Posté par  .
Étiquettes : aucune
0
26
avr.
2004
Salut journal

J'ai un p'tit souci de compétence, et j'espère que tu vas pouvoir m'aider, ou du moins me guider vers la doc qu'il me faut parmi les innombrables qui existent.

Voilà, je me monte un réseau local, avec un serveur/firewall pour me protégre des vilains d'internet. Pour l'instant je n'ai pas le net, donc je ne me soucis pas de savoir si ma protection est bonne, mais j'y pense.

Ce que je veux, c'est avoir un réseau sécurisé un minimum de l'extérieur, tout en permettant plein de chose de l'intérieur :-)

Je n'ai qu'un serveur, et je veux mettre un DNS (bind), un serveur web (apache), un serveur ftp (proftpd), un serveur NIS (là je sais pas encore), un serveur mail (je suis pas décidé pour ça non plus), et un partage de fichiers (nfs, samba, je sais pas).

Alors
1) est-ce qu'en coupant bien les accès des différents services sur l'interface réseau liée au net, c'est suffisant, ou j'ai un gros risque en faisant tourner mes services sur le firewall
2) Sais-tu quel service de messagerie est le plus simple/sécurisé pour mon petit réseau local (qmail, etc..)
3) pour le serveur NIS, sais-tu ce que je dois utiliser, et où trouver des docs récentes (j'ai entendu parler de NIS+, mais je ne sais pas ce qu'il y a de plus par rapport NIS).
4) pour le partage de fichiers, toutes les machines sont sous Linux, mais à ce qu'il paraît, NFS c'est pas top niveau sécurité et quand ça tombe c'est le bordel. Est-ce que samba est bien adapté pour des configs linux-only (ça implique le service samba sur le serveur, et un client samba sur chaque machine, c'est un peu le marteau pour déboucher un bon vin non ?)

Merci de tes commentaires, et si tu as des liens vers des docs claires et récentes, n'hésite pas (j'ai déjà survolé les HOWTO correspondants, mais soit ils sont trop vieux, soit c'est un pavé que je suis découragé à l'avance de lire).
  • # Re: Routage et Firewall

    Posté par  (site web personnel) . Évalué à 2.

    Bonjour,

    1) Cette doc ( http://olivieraj.free.fr/fr/linux/information/firewall/(...) ) que j'ai ecrit répond à ta question. La partie II explique comment restreindre l'accès de tes demons aux seuls interfaces réseaux internes. Mais le début du III ( http://olivieraj.free.fr/fr/linux/information/firewall/fw-03-01.htm(...) ) t'explique que cette protection n'est pas suffisante : Netfilter est donc obligatoire sur la machine.

    Quand à savoir si c'est sécurisé ou non, cela va dépendre de l'importance de la sécurité de ton réseau. Dans un cadre de réseau personnel, et si AUCUN(*) démon n'écoute depuis l'interfaces Internet, le risque est acceptable. Dans le cas d'un réseau d'enreprise, c'est inadmissible.

    (*): Tu parles de serveur de mail à mettre sur la machine serveurs/firewall/passerelle. Tu veux heberger ton propre serveur de mail (MX) accessible depuis l'exterieur ? Donc avec un port 25 ouvert ? Dans ce cas là, ce n'est pas acceptable de tout mettre sur la même machine. Si par contre ce serveur de mail ne fera que du relayhost pour ton réseau local, alors oui, c'est accpetable

    2) Postfix

    3) Aucune idée. Attention cependant aux problèmes de droit d'accès pour le NFS. Il faut que tu ais confience dans les machines de ton réseau : Personne ne doit pouvoir y accéder physiquement, avec une machine dont tu ne contrôle pas l'utilisateur root. Voir à ce sujet cette récente discussion : http://linuxfr.org/~bobert/11886.html(...)

    4) En terme purement de perfs Samba est moins bien adapté aux réseaux Linux. Mais cela marche bien quand même. Un truc que j'ai trouvé de pénible avec Samba : Lorsque tu écris un gros fichier (quelques centaines de Mo par exemple) sur un serveur Samba, celui-ci commence par reserver sur le disque dur l'espace qui va être occupé. Et cela prend du temps. Coté client, on a l'impression que le transfert ne commence pas, c'est assez pénible...
    • [^] # Re: Routage et Firewall

      Posté par  . Évalué à 1.

      Ce que je veux faire pour le mail (par pur plaisir), c'est faire arriver les boîtes aux lettres internet de moi (et ma copine) sur le serveur, et ensuite redispatcher avec les mails locaux (je sais c'est énorme pour pas grand chose, mais ça me botte).
      Aucun service n'est ouvert sur l'extérieur, sinon je sais qu'il y a toujours moyen de rentrer en utilisant une faille liée à un protocole et/ou le soft qui gère ce protocole.
      • [^] # Re: Routage et Firewall

        Posté par  (site web personnel) . Évalué à 1.

        c'est faire arriver les boîtes aux lettres internet de moi (et ma copine) sur le serveur, et ensuite redispatcher avec les mails locaux

        J'utilise cette configuration depuis pas mal de temps :
        - "fetchmail" pour récupérer les mails auprès des FAI
        - "postfix" pour gérer et stocker les mails
        - demon "pop3" ou "imap" pour intérogger les boîtes à lettres via mes clients de mails.

        Cela marche sans souccis.
        • [^] # Re: Routage et Firewall

          Posté par  . Évalué à 1.

          Merci pour ces précisions, je vais me diriger dans ce sens: ça me paraît assez léger, et après avoir lu un ou deux tutos sur ces softs, ça semble faisable au niveau config :-)

          (et merci encore pour le lien sur ton document)
  • # Re: Routage et Firewall

    Posté par  . Évalué à 1.

    1) Si tu fais confiance à ton LAN, ça suffit.
    2) EXIM http://www.fr.exim.org/docs.html(...)
    3) NIS c'est dépassé. Faut utiliser LDAP à la place. Je te conseille bien entendu le logiciel OpenLDAP.
    4) NFS c'est pas top sécurisé mais si tu fais confiance à ton LAN, c'est pas un problème. NFS c'est performant et trivial à mettre en place.
    • [^] # Re: Routage et Firewall

      Posté par  . Évalué à 1.

      Je fais confiance à mon LAN (pour l'instant) étant donné qu'il n'y a que moi et ma copine qui ne comprend rien à l'informatique (a par qu'elle sait me dire: ça marche pas).

      Je ne connais pas Exim (enfin les autres non plus, mais celui-là même pas de nom :-)), je vais quand même comparer avec postfix pour voir.

      LDAP, tiens je n'y avais pas pensé, ça peut être intéressant (en espérant que ce n'est pas trop la galère à mettre en oeuvre (je regarde openldap).

      Apparemment à part la sécurité il n'y a pas l'air d'avoir trop de problème avec NFS, et effectivement après avoir lu un tuto, c'est vraiment simple à mettre en place.

      Merci de ta réponse

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.