Journal Firewall sur Mandrake 9.2

Posté par (page perso) .
Tags : aucun
0
11
fév.
2004
Bonjour les amis!
J'ai un petit soucis avec ma Mandrake 9.2 fraichement installée: le pare feu.
Etape 1 une installation avec les options par défaut: niveau de sécurité standard. Petit tour dans les menus de configuration et là surprise: DrakFirewall est désactivé ( services accessible depuis internet: tous pas de firewall). Niveau sécurité c'est pas top.
J'active le pare feux et là ça marche tellement bien que je n'ai pas accès à internet! Je fouille dans les fichier shorewall et sur internet chou blanc je ne trouve rien de concluant.
Etape 2: qu'à cela ne tienne en fouinant sur Léa et un forum je trouve un script de firewall basé sur iptables. Après quelques bidouilles j'arrive à ça:

#!/bin/sh

#Change the part after the = to the where you IPTABLES is on your system
IPTABLES=/sbin/iptables

#flush existing rules
$IPTABLES -F INPUT

#This allows all data that has been sent out for the computer running the firewall
# to come back
#(for all of ICMP/TCP/UDP).
#For example, if a ping request is made it will allow the reply back
$IPTABLES -A INPUT -j ACCEPT -m state --state ESTABLISHED -i eth0 -p icmp
$IPTABLES -A INPUT -j ACCEPT -m state --state ESTABLISHED -i eth0 -p tcp
$IPTABLES -A INPUT -j ACCEPT -m state --state ESTABLISHED -i eth0 -p udp

#Allow traffic from ethernet adapter eth1 to pass through if
#you have a network, or
#as using linux as a router for internet etc.
#Your first ethernet card is eth0 and the second would be eth1 etc.
#$IPTABLES -A INPUT -i eth1 -j ACCEPT

#Allow incoming FTP requests
$IPTABLES -A INPUT -p tcp --dport 20 -j ACCEPT
$IPTABLES -A INPUT -p tcp --dport 21 -j ACCEPT

#Allow incoming SSH requests
$IPTABLES -A INPUT -p tcp --dport 22 -j ACCEPT

#Allow incoming Mail SMPT requests
$IPTABLES -A INPUT -p tcp --dport 25 -j ACCEPT

#Allow incoming HTTP requests (to Web server)
$IPTABLES -A INPUT -p tcp --dport 80 -j ACCEPT

#Allow incoming Domain requests (to Web server)
$IPTABLES -A INPUT -p udp -s 213.36.80.1 --sport 53 -d 0/0 -j ACCEPT

#Allow Ping echo
#I have commented this line, so ping from an outside machine will not work.
#Uncomment the next line to make ping from outside work.
#$IPTABLES -A INPUT -p icmp -j ACCEPT

#Drop and log all other data
#The logging is set so if more than 5 packets are dropped in
#three seconds they will be ignored. This helps to prevent a DOS attack
#Crashing the computer the firewall is running on
$IPTABLES -A INPUT -m limit --limit 3/second --limit-burst 5 -i ! lo -j LOG
$IPTABLES -A INPUT -i ! lo -j DROP

#The logs from the firewall are put into your system log file, which can be found at #/var/log/syslog

Maintenant mes questions:
- Quelqu'un a t il une meilleur solution (faire marcher DrakFirewall par exemple...)?
- A par ça le script ci dessus fonctionne t il (en tout cas j'ai accès à internet)?

# iptables --list
donne ça avec le script:
Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Sans le script j'avais en gros la même chose mais avec une dizaine de ligne...

En tout cas merci à tous par avance pour votre aide!
Tay
  • # Re: Firewall sur Mandrake 9.2

    Posté par . Évalué à 1.

    pour internet vérifie dans ton fichier /etc/shorewall/interfaces que tu as bien :

    #ZONE INTERFACE BROADCAST OPTIONS
    net ppp+ detect
    • [^] # Re: Firewall sur Mandrake 9.2

      Posté par (page perso) . Évalué à 1.

      J'ai:
      #ZONE INTERFACE BROADCAST OPTIONS
      net eth0 detect

      Il faudrait que j'ajoute une ligne avec ppp+ ou que je remplace la ligne actuelle?

      A noter que j'ai désactivé la carte ethernet dans le bios car je n'en n'ai pas l'usage donc eth0 correspondt bien à mon modem USB (Sagem fast 800) en tout cas si j'ai bien compris...

      Je vais essayer et tout cas merci!
      Tay
      • [^] # Re: Firewall sur Mandrake 9.2

        Posté par . Évalué à 1.

        tu vires eth0 et tu remplace par ppp+ et ca devrait rouler. Après je dis peut être une connerie au niveau sécu mais bon chez moi ca marche.
        • [^] # Re: Firewall sur Mandrake 9.2

          Posté par (page perso) . Évalué à 1.

          ben chez moi ça marche pô ;((
          J'ai comme tu m'as conseillé et je perd l'accès internet . Quand je fais un ping j'ai droit au choix à "operation is not permited" ou "network is unreachable"....
          J'ai essayé d'arrêter et de relancer la connexion, j'ai essayé aussi de débrancher - rebrancher le modem mais rien n'y fait...

          Il me reste plus qu'a aller lire la doc postée plus bas et me coucher moins bête ce soir :)!

          Merci quand même,
          Tay
          • [^] # Re: Firewall sur Mandrake 9.2

            Posté par . Évalué à 1.

            Moi, c'est pareille.
            Il m'a été impossible de pouvoir configurer les trois services suivants en même temps en utilisant exclusivement les utilitaires mandrake :
            -partage de la connexion Internet,
            -samba,
            -accès à internet.

            J'ai testé au moins 1-2 heures.

            En tout cas, je me souviens encore de ma démonstration (fiasco ?) devant mon beau frêre qui ne manque pas l'occasion de me titiller sur linux. J'ai acheté un powerpack mais je reste sous win2000 (sous win, la configuration prend autant de temps (1-15 minutes), mais ça fonctionne).
            C'est même pas un troll et c'est bien ça qui me fait chier !

            Je n'utilise que mozilla1.6, gimp2.0 et OOo 1.1 qui sont des chalengers tout à fait crédibles (en terme de stabilités, de fonctionnalités, ...). Il ne me manque qu'un linux purement graphiquement. J'ai pas le temps d'aller sur léa et compagnie pour voir la ligne de commandes qui fonctionne. 0 trois heures du mat, j'en ai rien à péter !
            Bref, c'est un appel pour tester la 10.0 avant quelle ne sorte.
            S'il y a des codeurs français qui sont capables de faire / donner des patchs à mandrake, je suis prêt à faire un débug graphique de l'installeur. Parce qu'avoir un "ok", à droite puis à gauche puis prenant la taille du dialogue ou encore avoir des espaces vides alors que l'on mets des scoll bar, ça fait pas sérieux.
            On m'a dit de faire un rapport par pb.
            J'en ai plus d'une centaine d'incohérences-maladresses graphiques dans l'installeur....
            exemple non choisi dans ma liste :
            "
            4)
            Cosmétique :
            Pas d'icône devant le titre de la boîte de dialogue de sélection des langues.
            Idée : pourquoi ne pas prendre les icônes mise dans le « centre de contrôle de mandrake » avec un dégradé bleu-blanc ? Ca fera beaucoup plus joli (voir fichier joint d’un essai pour la partie installation)
            "
            ou encore
            "
            3)
            Dialogue mal dimensionné !! Il y a trop d'espace vide au dessous de "accepter-Refuser"
            Idée : voir l’installeur de gimp sous windows.
            Avec :
            -« oui j’accepte les conditions de la licence »
            -« non,je n’accepte pas »
            "
            ...
            Bref, quand on regarde la SuSE, il y a pas photo. Je ne parle même pas des bouquins. Même chez RedHat, il sont plus propres.

            mon adresse jpmartinlinux@free.fr

            NB : c'est la première fois que je fais un commentaire aussi long
            • [^] # Re: Firewall sur Mandrake 9.2

              Posté par . Évalué à 1.

              C'est vrai qu'avec toutes les Mandrake que j'ai testé, j'ai toujours eu une impression de "pas terminé", un peu comme si les distributions sortaient trop tôt.

              Cela dit, j'ai également toujours été agréablement surpris par les progrès effectués d'une distribution à l'autre !

              Il est vrai que l'installateur de red Hat fait plus "pro", et qu'une SuSE dispose de meilleurs (?) outils de configuration, mais la Mandrake est 100% GPL et surtout, reste 100% gratuite en version download.

              Alors je suis prêt à accepter ce genre de bogues, je les signale quand je peux, j'essaye de proposer des solutions, ainsi que des milliers de personnes, et ça fonctionne, puisque la Mandrake ne cesse de se bonifier avec le temps :)
              • [^] # Re: Firewall sur Mandrake 9.2

                Posté par (page perso) . Évalué à 1.

                Pour participer au débat: je n'ai utilisé que Red Hat 8 et Mandrake 9.2 pour l'instant donc je ne m'avancerai pas en ce qui concerne Suse et al...
                Je suis d'accord pour dire que l'installeur Red Hat est beaucoup plus propre que celui de Mandrake par contre je dois dire qu'à la limite je m'en fout un peu (si tout va bien on ne le fait qu'un fois!).

                Par contre le contrôle center de Mandrake est vraiment pas mal pensé... dans l'idée! Rassembler tous les outils au même endroit est bien venu par contre ce serait vraiment mieux si les outils fonctionnaient directement sans bidouiller (au hasard la connexion internet et le pare feu...).
                Personellement du haut de ma petite expérience il y a une chose qui m'a posé des soucis et gonflé sérieusement c'est la connexion internet. En effet pas d'internet = pas d'aide pour résoudre tous les autres problèmes!
                Sous Redhat j'en avais ch** un peu mais après ça marchait nickel.
                Sous Mandrake pour l'instant c'est pas encore tip top: le bouton "se connecter" a dû marcher 2 ou 3 fois en tout, déconnections sauvage et pour se reconnecter je n'ai trouvé que le reboot comme au mauvais vieux temps!
                Juste pour dire amis créateurs de distribution penser bien que si le gars il n'arrive pas à se connecter à internet il ne risque pas de s'inscrire au "club"! Je trouve ça quand même vexant de voir un modem USB aussi banal que le Sagem fast 800 être parfaitement reconnu mais ne pas marcher "out of the box"!

                Enfin un problème à la fois il y a aussi pleins de bonnes choses à prendre et à apprendre!
                C'est ce que j'aime avec GNU/Linux: quand tu résouds un problème tu as appris quelque chose sur l'informatique en général. Sous Windows personellement je rebootais et Inch' Allah pourvu que ça r'marche!

                A plouche,
                Tay
          • [^] # Re: Firewall sur Mandrake 9.2

            Posté par (page perso) . Évalué à 1.

            Salut,

            Je suis sous mandrake 9.2 avec un modem sagem fast 800 (free dégroupé) avec les drivers eagle et je n'ai jamais eu de problèmes avec le firewall
            J'ai sélectionné serveur web, ssh, ftp et ça marchait impecablement
            Et sans avoir besoin de toucher un seul script

            Si je ne me trompe tu dois aussi être en dégroupé puisque ta connexion est sur eth0
            Donc en aucun cas tu dois avoir besoin de mettre quelque chose du genre ppp+

            les lignes :
            #ZONE INTERFACE BROADCAST OPTIONS
            net eth0 detect
            semblent donc bonnes
            • [^] # Re: Firewall sur Mandrake 9.2

              Posté par . Évalué à 1.

              ben avant d'être en dégroupé, shorewall me mettait quand même eth0 à la place de ppp+. C'est le script de config qui avait un bug.
  • # Re: Firewall sur Mandrake 9.2

    Posté par . Évalué à 1.

    • [^] # Re: Firewall sur Mandrake 9.2

      Posté par (page perso) . Évalué à 1.

      Steblond : mangnifique, TRES BONNE DOC !! Part de zero pour en arriver au subtilites

      Tay : Ton script ne vaut pas grand chose... prends plutot un script sur http://www.linuxguruz.com/iptables/(...) , genre le
      "Very restrictive set of firewall rules" . Selon tes besoins, (applis ou jeux internet), regardes les scripts, t'en a quelques-uns prevus pour...
      Le mieux etant de faire le sien propre...

      Dans l'ordre des trucs a faire au MINIMUM :
      - Verifier les serveurs qui tournent par defauts sur la machine...
      - verifier l'etat courant {"netstat -taupe | sort"} par rapport a celui desire...
      - Vider les relges et Etablir le defaut (reject ou drop)
      - Parametrer le noyau (broadcast, syncookie, accept_source_route,forwarding...)
      - Refuser les paquets malforme (unclean et invalid )
      - Refuser les adresses reservees de L'iana (http://www.iana.org/assignments/ipv4-address-space(...))
      - Bloquer/limiter les ports scan, les paquets fragmentes, les flags tcp hostiles
      - Controler les messages icmp (http://www.iana.org/assignments/icmp-parameters(...))
      - Parametrer les priorites de paquets (TOS Tweaks )
      - ET SURTOUT LOGGER tout ca !!! Sinon, pas moyen de savoir ce qui se passe, qui fait quoi, comment... Soit directement dans syslog. Si t'es sur adsl en permanence et que t'as pas plusieurs attaques/scan/vers par jour, c'est que ca marche pas (surtout les ports samba/rpc windows )... Et si ton adresse IP est fixe... c'est la guerre... Soit Ulogd est pas mal pour ca, il stocke ce que tu veux logger dans un base mysql...et apres tu peux consulter les resultats facilement, avec ulog-php par exemple...

      Perso, j'ai un set de fonctions bash, et de multiples config possibles, en fonction des besoins du reseau (log debug, log simple, strict, lazy, detection des trojans (si passerelle adsl et windows inside...))
      • [^] # Re: Firewall sur Mandrake 9.2

        Posté par . Évalué à 1.

        En parlant de logger ce qui passe, j'ai finit par desactiver completement les logs dans le script de mon firewall, car j'avais un traffique tellement important (une moyenne d'un paquet bloque toutes les 5 min a peu de chose pres) que je n'avait pas le temps d'en faire quoi que ce soit.

        Donc je me demandais, a quoi elles peuvent bien servir finalement. Et y a t'il un moyen simple de ne garder que ce qui ressemble a un scan manuel et se debarrasser du bruit genere par tous ces vers.
        • [^] # Re: Firewall sur Mandrake 9.2

          Posté par (page perso) . Évalué à 1.

          Ip-recent est fait pour toi :
          http://snowman.net/projects/ipt_recent/(...)

          Comme dit dans ce papier sur les "firewall adaptatifs" :

          http://www.sans.org/rr/special/adaptive_firewalls.pdf(...)

          (ca permet quelques "retour de baton" fort pratiques... jusqu'au perver "−j MIRROR" )

          Sinon quelques scans connus facile a logguer :
          # Furtive port scans
          $IPT -A INPUT -p tcp --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT
          $IPT -A INPUT -p tcp -i $EXT --tcp-flags ALL ALL -j SCAN # `Xmas' scan
          $IPT -A INPUT -p tcp -i $EXT --tcp-flags ALL NONE -j SCAN # `Null' scan
          $IPT -A SCAN -m limit --limit 2/s -j LOG --log-level info

          (oublie pas ip_limit ou moins encore pour reduire tes logs...)
  • # Re: Firewall sur Mandrake 9.2

    Posté par . Évalué à 3.

    J'ai galéré 3 mois à essayer de configurer Shorewall, j'ai jamais réussi à avoir un truc qui tienne la route.

    Et puis j'ai découvert FireStarter (urpmi firestarter, puis lancer firestarter pour le configurer), et depuis, j'ai l'équivalent de ZoneAlarm niveau simplicité de configuration, et surtout un système bien protégé et qui fonctionne exactement comme je l'entends, en quelques clics de souris !

    http://firestarter.sourceforge.net/(...)
    • [^] # Re: Firewall sur Mandrake 9.2

      Posté par . Évalué à 0.

      NB : Ne pas oublier d'arrêter cette daube* de Shorewall !

      * daube parce qu'il coupe la connexion à internet lorsqu'il est arrêté, même s'il est configuré pour laisser passer le traffic.
      daube parce que rien ne fonctionne, il n'en fait qu'à sa tête
      daube parce que j'ai perdu 3 moi sen lisant toutes les docs trouvées, etc, et que rien n'a jamais fonctionné !
      • [^] # Re: Firewall sur Mandrake 9.2

        Posté par . Évalué à 1.

        pas chez moi mais bon moi je dis ça je dis rien
      • [^] # Re: Firewall sur Mandrake 9.2

        Posté par . Évalué à 1.

        shorewall marche très bien et est très simple à configurer.
        Par contre, si tu tentes de configurer les rêgles avec N méthodes à la fois, par exemple Mandrake control Center, webmin, /etc/shorewall (j'ai vu des gens le faire), t'es sûr que ça va se viander.
        Pour les cas les plus simples, il suffit de modifier le fichier /etc/shorewall/rules.
      • [^] # Re: Firewall sur Mandrake 9.2

        Posté par (page perso) . Évalué à 1.

        daube parce qu'il coupe la connexion à internet lorsqu'il est arrêté

        Non tu dois lui dire de "clearer" les règles firewall dans le noyeau...
    • [^] # Re: Firewall sur Mandrake 9.2

      Posté par . Évalué à 1.

      Pareil, Firestarter sans hésiter.
      • [^] # Re: Firewall sur Mandrake 9.2

        Posté par (page perso) . Évalué à 1.

        Firestarter testé... et à priori approuvé! Je dis à priori parce qu'on ne sait jamais je verrai si ça marche au prochain reboot.

        En tout cas merci à tout le monde pour votre aide en particulier Manchot!
        A +
        Tay
    • [^] # Re: Firewall sur Mandrake 9.2

      Posté par . Évalué à 1.

      Je ne dois pas avoir de bol : je viens de tester firestarter, encouragé par les messsages enthousiastes de ce thread, mais une fois configuré, il affiche une erreur obscure ("internal error") puis se fige quelques secondes après chaque démarrage. Pas de message explicite dans la console non plus.

      Faut maintenant que je trouve comment réinitialiser la config et relancer l'assistant du début pour voir, et si ca ne marche pas mieux => urpme parce qu'il ne me donne rien pour faire un rapport de bogue là.
      • [^] # Re: Firewall sur Mandrake 9.2

        Posté par . Évalué à 1.

        Bon, finalement il a l'air de marcher après réglages, mais il me fait des pointes à 30% de cpu toutes les quelques secondes. Ca rend la machine et surtout l'interface graphique difficilement utilisables. Je n'ai rien trouvé à ce sujet dans la doc en ligne, donc je vais être malheureseusement obligé de m'en séparer. Dommage, le système avait l'air pas mal.
    • [^] # Re: Firewall sur Mandrake 9.2

      Posté par . Évalué à 1.

      Merci beaucoup de m'avoir fait découvrir firestarter, nickel ce truc.
  • # Re: Firewall sur Mandrake 9.2, minimal

    Posté par . Évalué à 1.

    voici un script firewall minimal qui marche pour une machine isolée sans serveur et qui peut servir de base: (eth0 est éventuellement à remplacer par le nom de l'interface externe, ppp0 par exemple)

    iptables -P INPUT DROP
    iptables -P FORWARD DROP
    iptables -P OUTPUT ACCEPT

    iptables -F INPUT
    iptables -A INPUT -i eth0 -m state --state ESTABLISHED -j ACCEPT
    iptables -A INPUT -i lo -j ACCEPT
  • # Re: Firewall sur Mandrake 9.2

    Posté par (page perso) . Évalué à 1.

    Bonjour,

    j'ai écrit un script de configuration de Netfilter : http://olivieraj.free.fr/fr/linux/programme/netfilter_cfg/(...)

    Il n'est pas graphique, mais une fois configuré il se fait oublié et protège la machine efficacement. L'explication de la configuration est en ligne sur cette URL.

    J'ai apporté pas mal de modifications, mais la nouvelle version n'est pas encore publiée, par manque de temps pour faire les rajouts de documentations. Si cela t'intéresse, je peux te l'envoyer (mon adresse email est sur le site).

    J'ai aussi écris une doc sur Netfilter et la sécurité sous Linux : http://olivieraj.free.fr/fr/linux/information/firewall/(...) . Elle est longue, mais se veut simple d'accès. Une news est parue sur LinuxFR lors de sa parution : http://linuxfr.org/2003/07/21/13334.html(...)
    • [^] # Re: Firewall sur Mandrake 9.2

      Posté par (page perso) . Évalué à 1.

      Salut!
      J'ai lu ta doc rapidement cette après midi, elle a l'air nickelle chrome, accessible et complète! Je pense que je vais me pencher dessus en détail dès que je trouve le temps de la faire.
      Bravo et merci!

      Pour ce qui est de netfilter_cfg ça a l'air pas mal du tout. Pour l'instant firestarter à l'air de fonctionner comme il faut cela suffira pour l'instant et ça va me laisser le temps de potasser pour bien comprendre comment ça marche.

      Je promet pas de faire ça tout de suite mais promis si je teste je t'enverrai un retour détaillé.

      A+
      Tay
      • [^] # Re: Firewall sur Mandrake 9.2

        Posté par (page perso) . Évalué à 1.

        Bravo et merci!

        Je t'en prie

        Pour ce qui est de netfilter_cfg ça a l'air pas mal du tout. Pour l'instant firestarter à l'air de fonctionner comme il faut cela suffira pour l'instant et ça va me laisser le temps de potasser pour bien comprendre comment ça marche.

        Je promet pas de faire ça tout de suite mais promis si je teste je t'enverrai un retour détaillé.


        Je t'enverrais ce soir la dernière version de netfilter_cfg, via ton adresse à dlfp.
        Pour ce qui est du retour d'infos sur ce programme, il n'y a pas de problèmes !

Suivre le flux des commentaires

Note : les commentaires appartiennent à ceux qui les ont postés. Nous n'en sommes pas responsables.