Le mercredi 10 avril 2002, à 10:31, Tony Schonfeld écrivait : > On Wed, Apr 10, 2002 at 10:32:51AM +0200, Dodger Web wrote: > > Ma config est la suivante: > > > > LAN: 192.168.0.0/24 > > GW: 192.168.0.3/24 > > > > > > LAN ------ eth1 ----- GW ----eth0----- modem ADSL -------- INET > > ^ > > Il y a une chose que je ne m'explique pas, ma machine GW reste > > exposée a 100% avec mes regles ipchains (voir ci dessous) > > et ce comme me le montre un scan de port ou des tentatives de ssh > > depuis l'exterieur.... > > > > Pouvez vous m'indiquer ce que je fais mal (pas ?)
Beaucoup de choses... > > # Deny all input on ifnet > > $ipchains -A input -s 0.0.0.0/0 -d 192.168.0.2 -p all -j DENY -i > > eth0 Ça ne correspond à aucun paquet, donc ça n'arrêtera rien. 1) Aucun datagramme provenant d'Internet ne peut avoir comme destination un réseau privé : il ne sera pas routé. C'est le principe même des réseaux privés. 2) Ton interface ADSL, c'est ppp0 et l'adresse qui va avec, pas eth0. Toutes les règles qui suivent sont inutiles puisque tu as une politique ACCEPT par défaut, ce qui est <font size="80">_MAL_</font>. Et elles ne servent à rien de toute façon pour les raisons évoquées ci-dessus. > Selon Chacun la politique de securite sera tres differente, > en principe un bon debut est de dire j'interdit tout: Je serai plus intransigeant que Tony sur ce point. Si on ne le fait, politique d'insécurité est un terme plus adéquat. > Ensuite tu vas definir les packets entrants, sortants, forwardes, masques > selon les adresses, protocoles et les ports. > > exemple: Ce n'est qu'un exemple. Par pitié ne le reprends pas tel quel sans savoir ce que tu fais. À titre indicatif, les ports 6000 à 6010 sont utilisés par X, un proxy traîne souvent en 8080, etc. > Comme je le disais hier j'ai debute avec des scripts a la main, tres long > et fastidieux, mais avec Mason tu peux creer un firewall en 5 minutes > qui marche bien. Je ne connais pas Mason, mais quelque soit l'outil utilisé, ça ne te dispense pas de lire le Ipchains-Howto. Quand tu l'auras lu 3 ou 4 fois et que tu es sûr d'avoir tout compris, relis-le. > Bonne chance Bonne lecture :-) -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]