Bonjour,
Je suis un peu (voire complètement) débutant concernant les firewall, et j'aimerais en configurer un pour ma connexion ADSL. Donc, ce petit message au journal pour lui demander de l'aide !
Alors, quelles sont les documents essentiels pour configurer sa linuxbox ?
Existe-t-il des packages tout fait, à installer, et puis basta (m'étonnerait, mais bon) ?
En fait, je dois remettre un projet pour l'unif', et j'ai réalisé ce projet avec postgresql et php, malheureusement, je ne connais pas d'hébergeur offrant postgresql. De plus, j'ai pas trop envie de commencer à chercher vu que mes examens approchent, et que je vais avoir autre chose à penser (et à faire). Donc, je pense sérieusement laissé une de mes machines connectés tout le temps sur internet, et configurer un firewall paranoïaque pour ne laisser passer que du http, du ftp et du ssh en entrant.
Donc, toute aide est la bienvenue !!!
Ah, encore une chose, vous me conseillez no-ip.org ou dyndns.org comme service pour obtenir un nom d'hôte ?
Un grand merci d'avance !
Journal Configurer un firewall
21
mai
2003
# Re: Configurer un firewall
Posté par tuan kuranes (site web personnel) . Évalué à 4.
sinon, si tu connais un peu le reseau, ca vaut le coup de maitriser ton firewall :
http://www.netfilter.org/(...)
http://www.netfilter.org/documentation/HOWTO/fr/packet-filtering-HO(...)
[^] # Re: Configurer un firewall
Posté par saorge . Évalué à 1.
Je vais installer, et chercher à configurer.
Ensuite, je pourrai me pencher sur netfilter pour faire les choses moi-même, et être un peu moins neuneu dans le domaine des firewalls !
# Re: Configurer un firewall
Posté par Guillaume Smet (site web personnel) . Évalué à 2.
Sinon j'utilise depuis 2 ans dyndns.org sans aucun souci. Jamais testé l'autre.
[^] # Re: Configurer un firewall
Posté par saorge . Évalué à 1.
Mais bon, je ne vais pas payer pour un serveur mutualisé pour un projet qui ne devra être en ligne qu'un mois !
Donc, je replonge dans la doc de netfilter !
# Re: Configurer un firewall
Posté par Guillaume Lebigot (site web personnel) . Évalué à 0.
Firestarter est aussi un outil sympa pour configurer rapidement un firewall (mais il te faut les libs Gnome 2 (quoi qu'il existe une ancienne version sous gnome 1 aussi)
Gaffe cependant si tu as plusieurs cartes réseau, j'ai le désagréable souvenir dans une ancienne version qu'il m'avait échangé mes deux cartes réseau (une pour le modem ethernet et l'autre pour le réseau) ce qui avait un peu fait tout foirer sur mon réseau (et je vous explique pas quand il fallait prendre son clavier et son écran et tout brancher sur le serveur planqué sous un buréau pour réparer la chose, ça m'a pas donné envie de réessayer :)
Enfin peut-être que ça s'est amélioré depuis ou que j'étias juste un cas isolé.
J'ai cru aussi voir sur les dernières versions qu'on pouvait aussi maitriser sa bande-passante pour autoriser plus de BP sur des services tels que SSH ou HTTP, pour les favoriser par rapport à d'autres (FTP, etc)
Bref, tu peux aussi l'essayer :)
[^] # Re: Configurer un firewall
Posté par saorge . Évalué à 2.
Bon, en quelques clic, j'ai réussi à ouvrir mes ports 80 et 21 ; donc, je suis déjà content.
Maintenant, je crois qu'il est plus que nécessaire que je me mette à niveau en ce qui concerne les implications de ce firewall ;-))
Je viens de lancer le firewall, et je sens que je terminerai parano avant la fin de la journée !
Si quelqu'un à des doc pour me permettre d'être un parano averti, je suis plus que preneur !
# Re: Configurer un firewall
Posté par blackshack . Évalué à 1.
# Re: Configurer un firewall
Posté par Victor . Évalué à 1.
cet firewall la est plutot pas mal, en fait c'est un ptit script, associé a un fichier de conf, en 30mn le truc est pres, tu paux aussi faire du NAT je crois.
(je n'ai pas testé, mais j'en ai eu de bons echos !)
# Re: Configurer un firewall
Posté par Colaur . Évalué à 1.
Voilà le fichier de conf iptables :
# Generated by iptables-save v1.2.7a on Tue May 20 16:27:30 2003
*filter
:INPUT DROP [5606:359538]
:FORWARD DROP [0:0]
:OUTPUT DROP [338:50229]
-A INPUT -i lo -j ACCEPT
-A INPUT -i ppp0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i ppp0 -m state --state NEW -j LOG
-A OUTPUT -o lo -j ACCEPT
-A OUTPUT -o ppp0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
COMMIT
# Completed on Tue May 20 16:27:30 2003
Pour l'"implanter", il faut faire un :
iptables-restore < fichier_de_conf_iptables
et "/etc/init.d/iptables save" pour le charger automatiquement.
Je suis débutant en la matière, mais ça a l'air de marcher parfaitement, avec un minimum d'efforts.
Pour les pros : merci de me dire si mon script est bon...
[^] # Re: Configurer un firewall
Posté par Bernez . Évalué à 2.
[^] # Re: Configurer un firewall
Posté par tuan kuranes (site web personnel) . Évalué à 3.
Techniquement le DROP, c'est pas forcement le mieux...
puisque de plus en plus de soft
vont "bourriner" (de + en + de connection), au lieu de comprendre qu'il n'y a rien la.
http://www.chiark.greenend.org.uk/~peterb/network/drop-vs-reject(...)
Apres il y a un paquet de protection en plus a activer pour un firewall...
des es parametres du noyau par ex :
echo 1 > /proc/sys/net/ipv4/conf/all/rp_filter
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
echo 0 >/proc/sys/net/ipv4/conf/all/accept_source_route
echo 0 > /proc/sys/net/ipv4/tcp_timestamps
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
echo 0 >/proc/sys/net/ipv4/conf/all/accept_redirects
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
echo "32768 61000" >/proc/sys/net/ipv4/ip_local_port_range
echo 30 > /proc/sys/net/ipv4/tcp_fin_timeout
echo 1800 > /proc/sys/net/ipv4/tcp_keepalive_time
echo 1 > /proc/sys/net/ipv4/tcp_window_scaling
echo 0 > /proc/sys/net/ipv4/tcp_sack
echo 1280 > /proc/sys/net/ipv4/tcp_max_syn_backlog
Les traitement des paquets unclean:
iptables -A INPUT -m unclean -j DROP
des invalides:
iptables -A -A INPUT -m state --state INVALID -j DROP
le traitement des icmp (pour eviter le ping of death)
iptables -A INPUT -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT
du spoofing (un type qui se fait passer pour une autre adresse ip)
iptables -A INPUT -d 127.0.0.0/8 -j REJECT
faut rajouter tous les resaeaux impossibles et des listes d'adresses ip que tu bloques (ad.doubleclick.net...)
et bien d'autres....
Un example :
http://orbital.wiretapped.net/~technion/iptables(...)
[^] # Re: Configurer un firewall
Posté par Colaur . Évalué à 2.
Ca, c'est une réponse complète :)
Où peut on trouver des explications plus précises sur les paramètres noyau ?
De manière générale, il n'y a pas des masses d'informations dispos en français à propos d'iptables pour aller un peu plus loin que le fonctionnement de base.
[^] # Re: Configurer un firewall
Posté par tuan kuranes (site web personnel) . Évalué à 1.
linux/Documentation/filesystems/proc.txt
linux/Documentation/networking/ip-sysctl.txt
Sinon Un beau Script , en francais :
http://www.parinux.org/pipermail/securite/2001-December/000825.html(...)
Sinon, une fois que ton script fonctionne, faut le tester avec des logiciels d'attaques:
(sinon, c'est une histoire de religion...)
http://nessus.org/(...)
http://nmap.org/(...)
Pour une liste d'outils :
http://nmap.org/tools.html(...)
(attention de bien attaquer ta machine... et si tu passes par une reseau externe ,previens les (genre si tu decides d'attaquer ta machine depuis ton boulot... previens ton admin et ton provider... sinon....), le mieux etant de le faire chez soi... c'est bcp +rapide en 100Mbs)
# Re: Configurer un firewall
Posté par Bernez . Évalué à 2.
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.