B. Telgeuse a écrit:
Merci pour ces précisions.
Je souhaiterais néammoins éclaircir certains points:
La définition des zones sur ma machine (eth0 connecté au modem ADSL, eth1 connecté au réseau local) donne le résultat suivant:
Determining Hosts in Zones...
Net Zone: ppp0:0.0.0.0/0
Masquerade Zone: eth0:0.0.0.0/0
Local Zone: eth1:0.0.0.0/0
Ce que j'en comprend avec mon toup'tit cerveau:
Lors d'un transfert de mon PC Win$ à mon PC Linux, tout passe via eth1 => on reste dans la zone "Local Zone" où je souhaite tout autoriser en terme de connections.
Lors d'une connection d'un des PC vers Internet, les paquets IP passent par eth1 (venant du PC Win$) ou sont générés localement (PC Linux) puis sont dirigés vers le Firewall (fw qui fait partie de la zone locale) où ils subissent un masquage d'adresse (substitution de l'adresse de l'interface eth0 à leur adresse SOURCE afin qu'ils paraissent tous venir de la machine connectée à Internet) et sont expédiés sur eth0 (Masquerade Zone) puis routés vers ppp0 (modem ADSL sur eth0). Correct ?
Si celà est vrai, la zone locale comprend la machine locale, les machines connectées à eth1 et le Firewall lui-même. Elle est caractérisée par des adresses IP des paquets en 192.168.0.x chez moi. La "Masquerade Zone" contient l'interface entre eth0 et ppp0 dont les paquets IP portent l'adresse 10.0.0.10 (adresse attribuée à eth0) et la "Net Zone" est tout l'extérieur caractérisée par toutes les autres adresses IP. Toujours OK?
A partir de là, les directives:
ACCEPT masq fw udp 1:65535 -me semblent furieusement identiques à une règle "masq fw ACCEPT" dans le
ACCEPT masq fw tcp 1:65535 -
Oui
fichier policy. D'autre part elles m'intriguent avec leur commentaire "du réseau interne vers notre PC (comme les partages SAMBA)" en effet, je ne voisJe n'ai pas essayer de réfléchir comme toi : j'ai bloqué et regardé ce qui ce passe.
pas pourquoi les paquets IP à destination des machines locales, qui transitent via eth1, iraient faire un tour dans la "Masquerade Zone" situéeA moins que ce soit cette zone qui gére l'arrivée de eth1 pour savoir quoi en faire.
entre eth0 et ppp0. Je pense qu'elles ne présentent pas de risques l'adresse eth0 en 10.0.0.x étant une adresse de réseau classe C privé, mais je ne les comprend pas.
De la même façon, la directive:
ACCEPT loc fw udp 1:65535 -me semble équivalente à "loc fw ACCEPT" dans le fichier policy (je l'avais déjà ajouté ainsi que "loc loc ACCEPT" à tout hasard
ACCEPT loc fw tcp 1:65535 -
Les lignes
ACCEPT fw masq udp 1:65535 -me semble équivalente à "fw masq ACCEPT" dans le fichier policy, et les commentaires me paraissent de nouveau curieux ( "> # Permet l'accès de notre PC vers le réseau interne, comme l'accès aux resources des PC du réseau interne") pour la même raison: Pourquoi du trafic local irait-il se balader dans la "Masquerade Zone" étant donné que seuls les paquets à destination de l'extérieur sont en principe "masqueradés" ?
ACCEPT fw masq tcp 1:65535 -
Même commentaire qu'avant. Met DROP et regarde les effets.
Je n'ai probablement rien compris, aussi je suis avide de vos éclaircissements.
--
Amicalement vOOo <http://www.openoffice-fr.org>tre
Troumad
Bernard SIAUD
troumad.free.fr <http://troumad.free.fr> : AD&D <http://troumad.free.fr/index_add.html>, mathématiques <http://www.web-etudiants.fr.st>, WEB <http://www.web-etudiants.fr.st>, Electronique <http://www.elec-etudiants.fr.st> et sectes <http://www.sectes.fr.fm>.
Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
