Le lun 06/10/2003 à 20:44, Thierry Leurent a écrit :
> Bonsoir,
>
> J'ai un vieux pentium 133, 48 Mo ram et 2 Go de HD.
> Je l'ai transforme en passerelle c'est a dire une carte reseau et un modem
> SpeedTouch usb.
>
> J'ai cree un petit script pour initialiser et lancer la connection.
> Dans ce script, j'utilise start-stop-daemon --start --pidfile
> /var/run/modem_run.pid --make-pidfile pour lancer le chargement du firmware
> du modem mais je constate que dans le fichier .pid, j'ai le pid du script et
> non de la commande lancee.... Donc un start-stop-daemon --stop ne fonctionne
> pas.
> Je voudrais aussi pouvoir lancer la commande adsl start automatiquement
> au demarrage et adsl stop a l'arret de la machine.
>
> J'ai cree un superbe script pour mon firewall :
> echo 1 > /proc/sys/net/ipv4/ip_forward
> iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
>
> Il fonctionne bien, meme tres bien mais il n'est pas tres secure, je
> cherche donc un script simple et bien explique ou un utilitaire qui me
> permettrait d'avoir un firewall secure c'est a dire ou tout serait ferme par
> defaut, que les tentatives de connection venant de l'exterieurs seraient
> loggees ainsi que les tentatives de sortir du reseaux (facile pour repperer
> les protocols a liberer).
>
> Merci
> Thierry
>
Pour ce qui de la sécurité tu peux mettre les règles suivantes :
# Politique par default
/sbin/iptables -P INPUT DROP
/sbin/iptables -P FORWARD DROP
/sbin/iptables -P OUTPUT ACCEPT
# On fait un peu de menage
/sbin/iptables -F INPUT
/sbin/iptables -F FORWARD
/sbin/iptables -F OUTPUT
/sbin/iptables -F -t nat
/sbin/iptables -F block
/sbin/iptables -X block
# Création d'une chaîne qui bloque les nouvelles connections
# qui ne viennent de l'extérieur.
#Création de la chaîne
/sbin/iptables -N block
# On accepte le trafic correspondant à des connections établies.
/sbin/iptables -A block -m state --state ESTABLISHED,RELATED -j ACCEPT
# On acceptes toutes les demandes de connections qui ne viennent pas de
# ppp0 (A remplacer par le nom de ton interface modem)
/sbin/iptables -A block -m state --state new -i ! ppp0 -j ACCEPT
# On bloque les paquets non pris en compte par les chaînes précédentes
/sbin/iptables -A block -j DROP #redondant avec la politique par défaut
#On ajoute la chaîne "block" a la chaîne INPUT de la table "filter"
/sbin/iptables -A INPUT -j block
#On ajoute la chaîne "block" a la chaîne FORWARD de la table filter
/sbin/iptables -A FORWARD -j block
# On fait du masquerade
/sbin/iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE
