Re: Firewall iptables qui ne bloque pas le port 53
- Mail original - > De: "JUPIN Alain" > À: "Liste Debian" > Envoyé: Jeudi 21 Avril 2022 09:26:49 > Objet: Firewall iptables qui ne bloque pas le port 53 > Bonjour, > Je vous soumet un petit problème ... sur une install Debian 11, j'ai > installé pi-hole (pour bloquer les pubs) > Pihole fonctionne, mais (il y a toujours un mais), je cherche a > bloquer son usage que pour quelques IP (vu qu'il est sur une IP > publique). > Voici donc les règles de mon firewall > # Politique par defaut > iptables -t filter -P INPUT DROP > iptables -t filter -P FORWARD DROP > iptables -t filter -P OUTPUT ACCEPT > ip6tables -t filter -P INPUT DROP > ip6tables -t filter -P FORWARD DROP > ip6tables -t filter -P OUTPUT ACCEPT > # Autoriser le Loopback > iptables -t filter -A INPUT -i lo -j ACCEPT > iptables -t filter -A OUTPUT -o lo -j ACCEPT > ip6tables -t filter -A INPUT -i lo -j ACCEPT > ip6tables -t filter -A OUTPUT -o lo -j ACCEPT > ### > # INBOUND TRAFIC # > ### > # On accepte les paquets déjà établis > iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT > ip6tables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT > # PING (ICMP) > iptables -A INPUT -p icmp -j ACCEPT > ip6tables -A INPUT -p ipv6-icmp -j ACCEPT > # SSH > iptables -A INPUT -p tcp --dport 22 -j ACCEPT > ip6tables -A INPUT -p tcp --dport 22 -j ACCEPT > # DNS > iptables -A INPUT -p tcp -s monIPv4 --dport 53 -j ACCEPT > iptables -A INPUT -p udp -s monIPv4 --dport 53 -j ACCEPT > ip6tables -A INPUT -p tcp -s monIPv6 --dport 53 -j ACCEPT > ip6tables -A INPUT -p udp -s monIPv6 --dport 53 -j ACCEPT > # HTTP(S) > iptables -A INPUT -p tcp --dport 80 -j ACCEPT > ip6tables -A INPUT -p tcp --dport 80 -j ACCEPT > iptables -A INPUT -p tcp --dport 443 -j ACCEPT > ip6tables -A INPUT -p tcp --dport 443 -j ACCEPT > # On bloque tout le reste > iptables -A INPUT -p tcp -j DROP > ip6tables -A INPUT -p tcp -j DROP > iptables -A INPUT -p udp -j DROP > ip6tables -A INPUT -p udp -j DROP > Le problème est que même activé, le port 53 n'est pas "bloqué" et > tout le monde peut accéder à mon pi-hole ! > J'ai ajouté les 4 dernière lignes, mais sans effet ! > Bref, je dois bien passer a coté de quelques choses mais je ne vois > pas quoi ! > Merci d'avance pour votre aide. > -- > Alain JUPIN Bonjour Alain, Pour ton problème de port DNS, je t'invite à simplement consulter les pages sur le site du sieur Bortzmeyer et tu trouveras ton bonheur... Et je n'ai pas compris la raison pour laquelle tu souhaites bloquer ce port, la seule chose intelligente serait de rediriger le trafic tcp 53 sur la partie udp 53 et de consulter la doc pour DNSSEC Merci pour ton aimable attention Bien à toi Bernard
Re: firewall, iptables et ses front-ends
Le 05/12/2015 21:18, Jean-Marc a écrit : Sat, 5 Dec 2015 18:44:07 +0100 daniel huhardeaux écrivait : Si la machine ne fait tourner *AUCUN* service un firewall n'est pas nécessaire. La machine fait tourner quelques services dont j'ai besoin en local. Et si l'ensemble du trafic passe par le VPN, une règle qui rejette tout le trafic vers l'IP publique _SAUF_ pour le port du VPN est suffisante. Tu as un exemple ? En supposant le VPN en udp: iptables -A INPUT -i eth0 -p tcp -s 0.0.0.0 -d -j REJECT iptables -A INPUT -i eth0 -p udp -s 0.0.0.0 -d ! --dport -j REJECT -- Daniel Huhardeaux +33.368460...@tootai.netsip:8...@sip.tootai.net +48.222472...@tootai.nettootaiNET
Re: firewall, iptables et ses front-ends
Jean-Marc a écrit : > > Pour ne pas exposer les services qui tournent sur mon cubie au reste de la > planète, par exemple. D'accord. >>> mes interfaces comportait aussi de l'IPv6, > > Il s'agit d'une IPv6 publique/globale pas d'une IP link-locale. Donc si certains services écoutent en IPv6, le filtrage IPv6 est souhaitable, et pas seulement sur l'interface tun. A vérifier avec netstat. Autre possibilité que je me dois de mentionner à contrecoeur : si le bidule n'a pas besoin d'IPv6, le désactiver. >>> -A INPUT -i eth0 -d 192.168.1.0/24 -j ACCEPT >> >> Pourquoi s'embêter à filtrer sur la plage d'adresses ? L'interface >> suffit. Si un pirate arrive à s'introduire sur ton réseau local, nul >> doute qu'il prendra une adresse qui va bien dans la plage. > > OK, donc accepter le trafic entrant sur eth0. Après réflexion, je me dois de revenir sur ce point de ma réponse précédente. Il est légitime de se prémunir contre des connexions qui pourraient provenir de l'extérieur et relayées par la box internet sur le LAN, à la faveur d'une erreur de configuration par exemple.
Re: firewall, iptables et ses front-ends
Jean-Michel OLTRA a écrit : > > Il est parfois possible, dans la configuration du service, de spécifier > une interface ou adresse sur laquelle le service écoute. Malheureusement c'est quasiment toujours l'adresse, et pas l'interface. Même quand on spécifie une interface dans la configuration, en pratique cela revient à spécifier "l'adresse de cette interface". Or le modèle d'hôte "faible" (weak host model) appliqué par Linux permet d'utiliser l'adresse d'une interface sur n'importe quelle autre interface. On peut compter sur des effets de bords pour assurer la restriction (par exemple l'adresse n'est pas censée être routable depuis l'extérieur), mais cela revient à compter sur quelqu'un d'autre pour assurer sa sécurité. Certains services permettent aussi de spécifier les adresses sources autorisées, directement ou via le wrapper tcpd et /etc/host.allow|deny. Au final, gérer globalement les autorisations via iptables est généralement plus radical (vraie gestion par interface réseau) et plus simple (toutes les autorisations d'accès centralisées au même endroit et gérées de la même façon).
Re: firewall, iptables et ses front-ends
Bonjour, Le samedi 05 décembre 2015, Jean-Marc a écrit... > > Si la machine ne fait tourner *AUCUN* service un firewall n'est pas > > nécessaire. > La machine fait tourner quelques services dont j'ai besoin en local. Il est parfois possible, dans la configuration du service, de spécifier une interface ou adresse sur laquelle le service écoute. Ce qui permet la visibilité en local, mais pas ailleurs, sans la nécessité d'une règle de pare-feu donc (sauf si on veut filtrer en local). Il y a eu un fil de discussion là-dessus sur cette même liste il y a quelques mois. -- jm
Re: firewall, iptables et ses front-ends
Sat, 5 Dec 2015 18:44:07 +0100 daniel huhardeaux écrivait : > Si la machine ne fait tourner *AUCUN* service un firewall n'est pas > nécessaire. La machine fait tourner quelques services dont j'ai besoin en local. > Et si l'ensemble du trafic passe par le VPN, une règle qui > rejette tout le trafic vers l'IP publique _SAUF_ pour le port du VPN est > suffisante. Tu as un exemple ? Jean-Marc pgp_6sKcqTx0V.pgp Description: PGP signature
Re: firewall, iptables et ses front-ends
Sat, 05 Dec 2015 19:11:57 +0100 Pascal Hambourg écrivait : > Jean-Marc a écrit : > > [...] > > Bof. Pour quoi faire ? Pour ne pas exposer les services qui tournent sur mon cubie au reste de la planète, par exemple. > > > J'ai donc installer fwbuilder et, de prime abord, il a l'air simple à > > utiliser, propose des config' sur base de templates, ... > > > > Mais lorsque j'ai jeté un oeil sur le script généré, j'ai eu quelques > > surprises (pas de prise en compte de l'IPv6 alors que la définition de > > mes interfaces comportait aussi de l'IPv6, > > Pas forcément nécessaire. Faut voir quel IPv6. Si c'est juste du link > local (fe80::/10), pas besoin. Il s'agit d'une IPv6 publique/globale pas d'une IP link-locale. > > > pas de règles de prise en > > charge d'une interface rajoutée après la config' de départ, ...). > > L'informatique n'est pas encore de la magie. > > > Bref, comme je n'ai pas trop de temps à passer pour maîtriser > > fwbuilder, je pense me rabattre sur un set de règles simple comme > > décrit sur le wiki Debian ici : https://wiki.debian.org/iptables > > > > Ma config' l'est aussi : une interface eth0 connectée sur mon réseau > > local et sur le switch de mon FAI et une interface tun0 créée via > > openvpn et connectée au net avec IP fixe pour laquelle je veux filtrer > > le trafic. > > Pas d'accord : deux interfaces différenciées, c'est déjà compliqué. > > > Ma question : pensez-vous que les règles de l'article du wiki suffisent ? > > Suffisent pour quoi faire ? Pour filtrer le trafic entrant sur tun0. En gros, tout bloquer sauf les deux ou trois services que je veux pouvoir accéder depuis le net. > Elles autorisent des connexions entrantes sur des ports. Est-ce utile ? > Au passage, il ne s'occupe pas plus de l'IPv6 que fwbuilder. > Note : le commentaire concernant les types ICMP est stupide : les > paquets ICMP qu'il vaut mieux ne pas bloquer ont déjà été acceptés grâce > à leur état RELATED. > > > Je pense simplement y ajouter la règle suivante pour autoriser le > > trafic de mon réseau local : > > > > -A INPUT -i eth0 -d 192.168.1.0/24 -j ACCEPT > > Pourquoi s'embêter à filtrer sur la plage d'adresses ? L'interface > suffit. Si un pirate arrive à s'introduire sur ton réseau local, nul > doute qu'il prendra une adresse qui va bien dans la plage. OK, donc accepter le trafic entrant sur eth0. > > Le bidule doit-il faire office de routeur entre le LAN et le VPN ? > Non, pas du tout. Jean-Marc pgptwlfS55dxe.pgp Description: PGP signature
Re: firewall, iptables et ses front-ends
Jean-Marc a écrit : > > J'ai récemment souscrit à un abo VPN pour, notamment, avoir une IP fixe. Qu'est-ce qu'il ne faut pas faire pour avoir une adresse IP fixe... > Mais avant de me brancher sur le net pour de vrai, je pense que la mise > en place d'un pare-feu pourrait s'avérer utile. Bof. Pour quoi faire ? > J'ai donc installer fwbuilder et, de prime abord, il a l'air simple à > utiliser, propose des config' sur base de templates, ... > > Mais lorsque j'ai jeté un oeil sur le script généré, j'ai eu quelques > surprises (pas de prise en compte de l'IPv6 alors que la définition de > mes interfaces comportait aussi de l'IPv6, Pas forcément nécessaire. Faut voir quel IPv6. Si c'est juste du link local (fe80::/10), pas besoin. > pas de règles de prise en > charge d'une interface rajoutée après la config' de départ, ...). L'informatique n'est pas encore de la magie. > Bref, comme je n'ai pas trop de temps à passer pour maîtriser > fwbuilder, je pense me rabattre sur un set de règles simple comme > décrit sur le wiki Debian ici : https://wiki.debian.org/iptables > > Ma config' l'est aussi : une interface eth0 connectée sur mon réseau > local et sur le switch de mon FAI et une interface tun0 créée via > openvpn et connectée au net avec IP fixe pour laquelle je veux filtrer > le trafic. Pas d'accord : deux interfaces différenciées, c'est déjà compliqué. > Ma question : pensez-vous que les règles de l'article du wiki suffisent ? Suffisent pour quoi faire ? Elles autorisent des connexions entrantes sur des ports. Est-ce utile ? Au passage, il ne s'occupe pas plus de l'IPv6 que fwbuilder. Note : le commentaire concernant les types ICMP est stupide : les paquets ICMP qu'il vaut mieux ne pas bloquer ont déjà été acceptés grâce à leur état RELATED. > Je pense simplement y ajouter la règle suivante pour autoriser le > trafic de mon réseau local : > > -A INPUT -i eth0 -d 192.168.1.0/24 -j ACCEPT Pourquoi s'embêter à filtrer sur la plage d'adresses ? L'interface suffit. Si un pirate arrive à s'introduire sur ton réseau local, nul doute qu'il prendra une adresse qui va bien dans la plage. Le bidule doit-il faire office de routeur entre le LAN et le VPN ?
Re: firewall, iptables et ses front-ends
Sat, 5 Dec 2015 18:20:48 +0100 Jean-Marc écrivait : > Bref, comme je n'ai pas trop de temps à passer pour maîtriser fwbuilder, je > pense me rabattre sur un set de règles simple comme décrit sur le wiki Debian > ici : https://wiki.debian.org/iptables > > Ma config' l'est aussi : une interface eth0 connectée sur mon réseau local et > sur le switch de mon FAI et une interface tun0 créée via openvpn et connectée > au net avec IP fixe pour laquelle je veux filtrer le trafic. > > Ma question : pensez-vous que les règles de l'article du wiki suffisent ? Et je me réponds déjà avec un «Really Quick Guide To Packet Filtering» : http://www.netfilter.org/documentation/HOWTO/packet-filtering-HOWTO-5.html Je remplace ppp0 par tun0 et j'ai aussi une base de travail. Merci pour vos avis et conseils. Jean-Marc pgpImVq_yzG03.pgp Description: PGP signature
Re: firewall, iptables et ses front-ends
Le 05/12/2015 18:20, Jean-Marc a écrit : salut la liste, Bonsoir J'ai un petit cubieboard sur lequel tourne une Debian Jessie. J'ai récemment souscrit à un abo VPN pour, notamment, avoir une IP fixe. Mais avant de me brancher sur le net pour de vrai, je pense que la mise en place d'un pare-feu pourrait s'avérer utile. Je me suis donc lancer dans la lecture de quelques articles donc un chapitre du bouquin «Le cahier de l'administrateur Debian» traitant du sujet et dans lequel les auteurs conseillent fwbuilder (https://packages.debian.org/jessie/fwbuilder). J'ai donc installer fwbuilder et, de prime abord, il a l'air simple à utiliser, propose des config' sur base de templates, ... Mais lorsque j'ai jeté un œil sur le script généré, j'ai eu quelques surprises (pas de prise en compte de l'IPv6 alors que la définition de mes interfaces comportait aussi de l'IPv6, pas de règles de prise en charge d'une interface rajoutée après la config' de départ, ...). Bref, comme je n'ai pas trop de temps à passer pour maîtriser fwbuilder, je pense me rabattre sur un set de règles simple comme décrit sur le wiki Debian ici : https://wiki.debian.org/iptables Ma config' l'est aussi : une interface eth0 connectée sur mon réseau local et sur le switch de mon FAI et une interface tun0 créée via openvpn et connectée au net avec IP fixe pour laquelle je veux filtrer le trafic. Ma question : pensez-vous que les règles de l'article du wiki suffisent ? Je pense simplement y ajouter la règle suivante pour autoriser le trafic de mon réseau local : -A INPUT -i eth0 -d 192.168.1.0/24 -j ACCEPT Merci d'avance pour vos retours. Et bonne soirée à tous qui me liront jusqu'ici. [...] Si la machine ne fait tourner *AUCUN* service un firewall n'est pas nécessaire. Et si l'ensemble du trafic passe par le VPN, une règle qui rejette tout le trafic vers l'IP publique _SAUF_ pour le port du VPN est suffisante. -- Daniel
Re: firewall à base d'iptables au démarrage (/etc/init.d/)
Gaëtan PERRIER a écrit : > Le Sun, 01 Sep 2013 13:48:51 +0200 > daniel huhardeaux a écrit: >> Saulf que en pre-up et dhcp, si les règles sont basées sur l IP >> publique, celle ci n'est pas encore connue, il faut donc le faire en >> 2 temps: pre-up protège l'interface, post-up pour les règles liées à >> l'adresse IP > > Oui c'était ça mon point d'interrogation. Vu que l'IP n'est pas connue > il est difficile de créer une règle iptable dessus ... > Et maintenant comment faites-vous avec une machine qui bouge beaucoup > comme un portable avec network-manager ? J'utilise le dispatcher avec > des règles sur up et dhcp4-change mais du coup ça n'intervient qu'après > que l'interface soit active. En deux temps, on t'a dit. Avant le démarrage du réseau : on bloque tout. Avant ou après l'activation d'une interface, peu importe : on ajoute les règles liées à l'interface en question (qu'on n'oublie pas de supprimer à sa désactivation n'est-ce pas). -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/5223c003.7090...@plouf.fr.eu.org
Re: firewall à base d'iptables au démarrage (/etc/init.d/)
Le Sun, 01 Sep 2013 13:48:51 +0200 daniel huhardeaux a écrit: > Bonjour,* > > *Le 01/09/2013 10:00, François TOURDE a écrit : > > Le 15949ième jour après Epoch, > > Gaëtan PERRIER écrivait: > > > >> Bonsoir, > >> > >> C'est possible quand on est sur un réseau statique mais avec une > >> réseau en dhcp ça ne me semble pas possible, non ? > > Idem qu'en statique, sauf que la ligne de l'interface est du style > > > >>> auto eth0 > >>> iface eth0 inet dhcp > >>> pre-up "/usr/local/sbin/firewall.sh" > > Et sinon, il y a comme répondu déjà le répertoire if-up.d dans > > /etc/network/ > > Saulf que en pre-up et dhcp, si les règles sont basées sur l IP > publique, celle ci n'est pas encore connue, il faut donc le faire en > 2 temps: pre-up protège l'interface, post-up pour les règles liées à > l'adresse IP Oui c'était ça mon point d'interrogation. Vu que l'IP n'est pas connue il est difficile de créer une règle iptable dessus ... Et maintenant comment faites-vous avec une machine qui bouge beaucoup comme un portable avec network-manager ? J'utilise le dispatcher avec des règles sur up et dhcp4-change mais du coup ça n'intervient qu'après que l'interface soit active. Gaëtan -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/20130901145930.dd32a0dfdd69618d6bae5...@neuf.fr
Re: firewall à base d'iptables au démarrage (/etc/init.d/)
Bonjour,* *Le 01/09/2013 10:00, François TOURDE a écrit : Le 15949ième jour après Epoch, Gaëtan PERRIER écrivait: Bonsoir, C'est possible quand on est sur un réseau statique mais avec une réseau en dhcp ça ne me semble pas possible, non ? Idem qu'en statique, sauf que la ligne de l'interface est du style auto eth0 iface eth0 inet dhcp pre-up "/usr/local/sbin/firewall.sh" Et sinon, il y a comme répondu déjà le répertoire if-up.d dans /etc/network/ Saulf que en pre-up et dhcp, si les règles sont basées sur l IP publique, celle ci n'est pas encore connue, il faut donc le faire en 2 temps: pre-up protège l'interface, post-up pour les règles liées à l'adresse IP -- Daniel -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/522329a3.3080...@tootai.net
Re: firewall à base d'iptables au démarrage (/etc/init.d/)
François TOURDE wrote on Sun, Sep 01, 2013 at 10:00:55AM +0200 > Le 15949ième jour après Epoch, > Gaëtan PERRIER écrivait: > > > Bonsoir, > > > > C'est possible quand on est sur un réseau statique mais avec une réseau > > en dhcp ça ne me semble pas possible, non ? > > Idem qu'en statique, sauf que la ligne de l'interface est du style > > >> auto eth0 > >> iface eth0 inet dhcp > >>pre-up "/usr/local/sbin/firewall.sh" > > Et sinon, il y a comme répondu déjà le répertoire if-up.d dans > /etc/network/ Désolé, j'ai oublié de préciser qu'il s'agissait d'un VPS qui a donc une IP statique. À propos du rép. /etc/network/if-up-d/, le rép. /etc/network/if-pre-up-d/ ne serait-il pas plus approprié ? Comme il s'agit d'un VPS sur lequel j'ai plusieurs services (Apache2, MySQL uniquement en accès local, SMTP), la solution /ec/rc?.d/ ne serait-elle pas plus adaptée/précise ? En forçant l'exécution des règles iptables, avant le démarrage du réseau à l'aide des dépendances gérées par insserv. dom -- -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/20130901091045.ga32...@telecom-paristech.fr
Re: firewall à base d'iptables au démarrage (/etc/init.d/)
Bonjour, Là encore, je pense que if-pre-up.d serait plus indiqué. De cette manière, le firewall est appliqué avant l'activation de l'interface :) Cordialement, JB Le 01/09/2013 10:00, François TOURDE a écrit : > Le 15949ième jour après Epoch, Gaëtan PERRIER écrivait: > >> Bonsoir, >> >> C'est possible quand on est sur un réseau statique mais avec une >> réseau en dhcp ça ne me semble pas possible, non ? > > Idem qu'en statique, sauf que la ligne de l'interface est du style > >>> auto eth0 iface eth0 inet dhcp pre-up >>> "/usr/local/sbin/firewall.sh" > > Et sinon, il y a comme répondu déjà le répertoire if-up.d dans > /etc/network/ > -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/52230212.1030...@jbfavre.org
Re: firewall à base d'iptables au démarrage (/etc/init.d/)
Le 15949ième jour après Epoch, Gaëtan PERRIER écrivait: > Bonsoir, > > C'est possible quand on est sur un réseau statique mais avec une réseau > en dhcp ça ne me semble pas possible, non ? Idem qu'en statique, sauf que la ligne de l'interface est du style >> auto eth0 >> iface eth0 inet dhcp >> pre-up "/usr/local/sbin/firewall.sh" Et sinon, il y a comme répondu déjà le répertoire if-up.d dans /etc/network/ -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/87ppst9djc@tourde.org
Re: firewall à base d'iptables au démarrage (/etc/init.d/)
Bonjour, Dans ce cas je pense que tu peux mettre ton script dans le répertoire /etc/network/if-up.d .Ainsi le script est executé lors de l'initialisation des interfaces réseaux du système. Le 1 sept. 2013 01:18, "Gaëtan PERRIER" a écrit : > Bonsoir, > > C'est possible quand on est sur un réseau statique mais avec une réseau > en dhcp ça ne me semble pas possible, non ? > > Gaëtan > > Le Sat, 31 Aug 2013 22:38:52 +0200 > Jean Baptiste FAVRE a écrit: > > > Bonsoir, > > Idéalement le firewall devrait être actif avant le démarrage du > > réseau, pour éviter un laps de temps, si court soit-il, pendant lequel > > la machine n'est pas protégée. > > > > Personnellement, je préfère utiliser un script shell que j'appelle > > dans la configuration réseau (fichier /etc/netork/interface). Par > > exemple: > > > > auto eth0 > > iface eth0 inet static > > address xxx.yyy.zzz.aaa > > netmask 255.255.255.0 > > network xxx.yyy.zzz.0 > > broadcast xxx.yyy.zzz.255 > > gateway xxx.yyy.zzz.1 > > pre-up "/usr/local/sbin/firewall.sh" > > > > De cette manière, le firewall est chargé avant que l'interface ne soit > > activée et configurée. > > > > Cordialement, > > JB > > > > Le 31/08/2013 22:21, Dominique Asselineau a écrit : > > > Bonjour, > > > > > > J'ai adapté un firewall à partir de la doc de Debian security, que > > > j'ai placé dans /etc/init.d/ et j'aurais souhaité le faire exécuter > > > au bon moment lors du démarrage. > > > > > > Au début du script il faut donc placer des lignes d'en-tête pour > > > que insserv l'insère au bon endroit dans les /etc/rc?.d/ lors d'un > > > update-rc.d. Et j'ai un petit doute sur les contraintes à insérer > > > dans cette en-tête. > > > > > > Dans la mesure où ces règles doivent protéger la machine dans le > > > réseau, le service réseau doit-il être opérationnel ou justement > > > ne doit-il pas l'être tant que ces règles ne snt pas en place ? > > > > > > dom > > > > > > > -- > > Lisez la FAQ de la liste avant de poser une question : > > http://wiki.debian.org/fr/FrenchLists > > > > Pour vous DESABONNER, envoyez un message avec comme objet > > "unsubscribe" vers debian-user-french-requ...@lists.debian.org > > En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org > > Archive: http://lists.debian.org/5222545c.7070...@jbfavre.org > > > -- > Gaëtan PERRIER > > -- > Lisez la FAQ de la liste avant de poser une question : > http://wiki.debian.org/fr/FrenchLists > > Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" > vers debian-user-french-requ...@lists.debian.org > En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org > Archive: > http://lists.debian.org/20130901011838.434f3ddc55f0d2e82fd82...@neuf.fr > >
Re: firewall à base d'iptables au démarrage (/etc/init.d/)
Bonsoir, C'est possible quand on est sur un réseau statique mais avec une réseau en dhcp ça ne me semble pas possible, non ? Gaëtan Le Sat, 31 Aug 2013 22:38:52 +0200 Jean Baptiste FAVRE a écrit: > Bonsoir, > Idéalement le firewall devrait être actif avant le démarrage du > réseau, pour éviter un laps de temps, si court soit-il, pendant lequel > la machine n'est pas protégée. > > Personnellement, je préfère utiliser un script shell que j'appelle > dans la configuration réseau (fichier /etc/netork/interface). Par > exemple: > > auto eth0 > iface eth0 inet static > address xxx.yyy.zzz.aaa > netmask 255.255.255.0 > network xxx.yyy.zzz.0 > broadcast xxx.yyy.zzz.255 > gateway xxx.yyy.zzz.1 > pre-up "/usr/local/sbin/firewall.sh" > > De cette manière, le firewall est chargé avant que l'interface ne soit > activée et configurée. > > Cordialement, > JB > > Le 31/08/2013 22:21, Dominique Asselineau a écrit : > > Bonjour, > > > > J'ai adapté un firewall à partir de la doc de Debian security, que > > j'ai placé dans /etc/init.d/ et j'aurais souhaité le faire exécuter > > au bon moment lors du démarrage. > > > > Au début du script il faut donc placer des lignes d'en-tête pour > > que insserv l'insère au bon endroit dans les /etc/rc?.d/ lors d'un > > update-rc.d. Et j'ai un petit doute sur les contraintes à insérer > > dans cette en-tête. > > > > Dans la mesure où ces règles doivent protéger la machine dans le > > réseau, le service réseau doit-il être opérationnel ou justement > > ne doit-il pas l'être tant que ces règles ne snt pas en place ? > > > > dom > > > > -- > Lisez la FAQ de la liste avant de poser une question : > http://wiki.debian.org/fr/FrenchLists > > Pour vous DESABONNER, envoyez un message avec comme objet > "unsubscribe" vers debian-user-french-requ...@lists.debian.org > En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org > Archive: http://lists.debian.org/5222545c.7070...@jbfavre.org -- Gaëtan PERRIER -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/20130901011838.434f3ddc55f0d2e82fd82...@neuf.fr
Re: firewall à base d'iptables au démarrage (/etc/init.d/)
Bonsoir, Idéalement le firewall devrait être actif avant le démarrage du réseau, pour éviter un laps de temps, si court soit-il, pendant lequel la machine n'est pas protégée. Personnellement, je préfère utiliser un script shell que j'appelle dans la configuration réseau (fichier /etc/netork/interface). Par exemple: auto eth0 iface eth0 inet static address xxx.yyy.zzz.aaa netmask 255.255.255.0 network xxx.yyy.zzz.0 broadcast xxx.yyy.zzz.255 gateway xxx.yyy.zzz.1 pre-up "/usr/local/sbin/firewall.sh" De cette manière, le firewall est chargé avant que l'interface ne soit activée et configurée. Cordialement, JB Le 31/08/2013 22:21, Dominique Asselineau a écrit : > Bonjour, > > J'ai adapté un firewall à partir de la doc de Debian security, que > j'ai placé dans /etc/init.d/ et j'aurais souhaité le faire exécuter > au bon moment lors du démarrage. > > Au début du script il faut donc placer des lignes d'en-tête pour > que insserv l'insère au bon endroit dans les /etc/rc?.d/ lors d'un > update-rc.d. Et j'ai un petit doute sur les contraintes à insérer > dans cette en-tête. > > Dans la mesure où ces règles doivent protéger la machine dans le > réseau, le service réseau doit-il être opérationnel ou justement > ne doit-il pas l'être tant que ces règles ne snt pas en place ? > > dom > -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/5222545c.7070...@jbfavre.org
Re: FIREWALL INDEPENDANT
Le dimanche 23 octobre 2011 à 01:19:51, Jean-Yves F. Barbier a écrit : > On Sun, 23 Oct 2011 00:32:21 +0200 > > Jérôme wrote: > > Ben... puisqu'on en parle, quelle est la différence de coût > > au bout de 2-3ans entre acheter un pc basse consommation > > (5w ?) genre plug-pc ou alix et utiliser un pc des années > > 80 Ouais, ’fin plutôt 1995-2000 que 1980… > > qui va consommer un peu franchement plus (pas > > d'ACPI...) en nous cassant les oreilles ? > >[… où Jean-Yves prends son temps pour nous dire que > 160 = 32 × 5 ;oP …] Niveau brouzoufs, 1 watt.an coûte, bon an mal an (haha), 1 €. Il suffit de prendre sa facture EDF (ou autre d’ailleurs) et de multiplier le prix du kW.H par 0,36525 × 24 (attention aux heures pleines/creuses pour ceux qui en ont). Donc, pour 2-3 ans : → vieux PC = 0 € + 2-3 × 160 € + le bruit, l’encombrement et l’âge qui fait que son espérance de vie ne va pas en s’allongeant et que trouver des pièces détachées qui peuvent encore tenir la route est très difficile ou coûteux (peut-être bien que, comme les moulins, c’était mieux avant, que ça tenait dix ans et que maintenant plus rien ne tient plus de deux, mais comme sasfépu depuis dix ans, les pièces qu’on trouve ont déjà plus de dix ans) → PC b.conso = 100-250 € + 2-3 × 5-20 € (5-20 parce que ça dépend aussi de ce qu’on prend et de ce qu’on lui colle dans l’USB) + le silence et la « geekitude » -- Sylvain Sauvage -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/201110231655.36921.sylvain.l.sauv...@free.fr
Re: FIREWALL INDEPENDANT
Le 23/10/2011 01:19, Jean-Yves F. Barbier a écrit : On Sun, 23 Oct 2011 00:32:21 +0200 Jérôme wrote: Ben... puisqu'on en parle, quelle est la différence de coût au bout de 2-3ans entre acheter un pc basse consommation (5w ?) genre plug-pc ou alix et utiliser un pc des années 80 qui va consommer un peu franchement plus (pas d'ACPI...) en nous cassant les oreilles ? [...] choisit ton camp, camarade :) Je rajouterai que ce type de firewall ne nécessite pas de disque dur => conso moindre. De même, si l'on pense avoir été hacké/violé/trojané/virusé/... il suffit de redémarrer ;-) -- Daniel -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/4ea3e266.7020...@tootai.net
Re: FIREWALL INDEPENDANT
On Sun, 23 Oct 2011 00:32:21 +0200 Jérôme wrote: > Ben... puisqu'on en parle, quelle est la différence de coût au bout de > 2-3ans entre acheter un pc basse consommation (5w ?) genre plug-pc ou > alix et utiliser un pc des années 80 qui va consommer un peu franchement > plus (pas d'ACPI...) en nous cassant les oreilles ? Si l'on prend comme parms de départ: http://www.tgdaily.com/hardware-opinion/41525-marvells-plug-computer-a-tiny-discrete-fully-functional-5-watt-linux-server (5W) http://www.instant-axess.co.uk/pd-chip-pc-plug-pc-lxp-2310-uk.cfm (3W) un vieux celeron 333MHz avec 1 HD & 384MB de RAM (160W, conso moyenne intégrant les accès HD) et que l'on considère un fonctionnement 24/7 sans aucune interruption, les chiffres (en KW) donnent: 1an 2ans 3ans 5W 43.83 87.66131.49 3W 26.30 52.60 78.90 160W 1402.56 2805.12 4207.68 soient les K suivants: 160W => 32.0 x 5W 160W => 53.3 x 3W 5W => 1.7 x 3W Donc, pour la même conso qu'un PC STD, tu peux créer un réseau d'environ 17 µPC (une box bouffe ~6W) en faisant du channel bonding sur 17 abos ADSL (bon là, évidemment, c'est un peu plus cher à cause des abos ADSL, mais ça rock sa race question vitesse:) choisit ton camp, camarade :) -- The 80's -- when you can't tell hairstyles from chemotherapy. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/20111023011951.2cdf3bbf@anubis.defcon1
Re: FIREWALL INDEPENDANT
Le samedi 22 octobre 2011 à 23:00 +0200, daniel huhardeaux a écrit : > Pour faire un firewall personnel, une machine datant des années 80 > est > largement suffisante. À cette époque point de DVD ou USB. J'utilise > encore cette distribution dans certains cas. > > > > > tu es sur qu'ils ont l'electricité ? > > On se sent mieux après avoir posé cette question? Ben... puisqu'on en parle, quelle est la différence de coût au bout de 2-3ans entre acheter un pc basse consommation (5w ?) genre plug-pc ou alix et utiliser un pc des années 80 qui va consommer un peu franchement plus (pas d'ACPI...) en nous cassant les oreilles ? -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/1319322741.3831.28.ca...@azuki.aranha.ici
Re: FIREWALL INDEPENDANT
Le 22/10/2011 19:55, jean durandt a écrit : [...] Il y a un truc qui me déconcerte : on parle de cdrom de disquette, mais ni de dvd ni de usb Pour faire un firewall personnel, une machine datant des années 80 est largement suffisante. À cette époque point de DVD ou USB. J'utilise encore cette distribution dans certains cas. tu es sur qu'ils ont l'electricité ? On se sent mieux après avoir posé cette question? [...] mais je relance le débat parce que je souhaiterais conserver debian comme distrib Ca c'est une information valide. merci à tous et merci à toi bernard d'avoir ce petit point d'humour. j'ai T01 à la cave, éventuellement je ne sais s'il fera un bon pare-feu mais je suis sûr que si je le brûle il parera la cheminée :) Je ne sais ce qu'est T01 (me souviens des TO6 de Thomson) mais à votre place je le conserverai, cela risque de valoir quelques euros. > Date: Sat, 22 Oct 2011 18:31:35 +0200 > From: bernard.schoenac...@free.fr > To: debian-user-french@lists.debian.org > Subject: Re: FIREWALL INDEPENDANT > > Le Sat, 22 Oct 2011 16:16:50 +, > jean durandt a écrit : > > > > > Merci pour vos messages cela fait plaisir et rire aussi grâce à > > votre humour. > > > > > > j'ai commis une erreur et ai planté ma bécane > > A 3h du mat et une nuit précédente écourtée, j'ai décidé de me lancer > > sur IPFIRE > > > > je ne sais pas si ca marche, mais c'est une merde à installer : ce > > c.. n'est pas capable de dire qu'il est handicapé donc il prend > > toujours la meme partition sd4 toujours hdd vierge ou non. Résultat > > ma config aux petits oignons grace à vous fichue à la poubelle > > > > et maintenant j'ai voulu gagneer du temps j'ai laissé DEBIAN faire > > les partitions comme un grand > > > > je peste je rage depuis : > > > > > > > > je reviens sur mon firewall indépendant et sur la mémoire > > > > > > je rencontre des difficultés de conception : debian rame : 512 mo de > > mem et 4Go de swap je voudrais équilibrer cela mais les sites y > > compris debianfr donnent des infos généralistes mais pas de réels > > tutos ou de solutions pour mettre en oeuvre un équilibrage. Cela > > manque mais j'ai la communauté avec moi n'est-ce pas ? > > > > Allez dites oui > > Merci > > > > donc pour la toute première fois, j'ai laissé debian de partitionner > > le hdd ainsi > > > > 9 partitions : > > > > ext3 / 333M/141 boot > > extended 74,20G > > ext3 /usr 8,4/4 > > ext3 /var 2,8G/972M > > non allouee 985M > > ext3 /tmp 385/23M > > ext3 /home 20,11G/660M > > linux-swap 3,91G > > non alloue 1,37M > > ext4 37,67G/782 pour donnees > > > > Par le moniteur systeme > > CPU mini 35 pour cent > > memoire ram 70 pour cent de 512 (350 env) > > swap 6,2 pour cent de 3,9G (240M env) > > > > ce montage me semble curieux en sachant que pour gagner en swap je > > suis passé de swap 985 montée en origine par deb (maintenant non > > alloue) à 3;91G > > > > la tmp me semble tres légère > > > > Que dois-je modifier s'il y a qqchose à modifier. > > > > A vous relire > > > > > Bonjour, > > > la solution pare feu la plus légère : http://www.fli4l.de/ > > au départ il fallait une disquette de 3.5" > > slt > bernard > > -- > Lisez la FAQ de la liste avant de poser une question : > http://wiki.debian.org/fr/FrenchLists > > Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" > vers debian-user-french-requ...@lists.debian.org > En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org > Archive: http://lists.debian.org/20111022183135.1cc5249d.bernard.schoenac...@free.fr > -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/4ea32ef1.5080...@tootai.net
RE: FIREWALL INDEPENDANT
IL EST MARRANT , lui :) on voit que tu Alsacien : déjà que j'ai un mal fou à comprendre l'anglais il faut que tu pousses le vice à me proposer un produit en Allemand que je n'ai pas pratiqué depuis .30 ans au moins rires sérieusement tu l'as pratiqué parce que tu n'explicites pas beaucoup et c'est dommage. Il y a un truc qui me déconcerte : on parle de cdrom de disquette, mais ni de dvd ni de usb tu es sur qu'ils ont l'electricité ? sérieusement si tu peux répondre cela sera utile ne fût-ce que pour ma culture G mais je relance le débat parce que je souhaiterais conserver debian comme distrib merci à tous et merci à toi bernard d'avoir ce petit point d'humour. j'ai T01 à la cave, éventuellement je ne sais s'il fera un bon pare-feu mais je suis sûr que si je le brûle il parera la cheminée :) Cordialement > Date: Sat, 22 Oct 2011 18:31:35 +0200 > From: bernard.schoenac...@free.fr > To: debian-user-french@lists.debian.org > Subject: Re: FIREWALL INDEPENDANT > > Le Sat, 22 Oct 2011 16:16:50 +, > jean durandt a écrit : > > > > > Merci pour vos messages cela fait plaisir et rire aussi grâce à > > votre humour. > > > > > > j'ai commis une erreur et ai planté ma bécane > > A 3h du mat et une nuit précédente écourtée, j'ai décidé de me lancer > > sur IPFIRE > > > > je ne sais pas si ca marche, mais c'est une merde à installer : ce > > c.. n'est pas capable de dire qu'il est handicapé donc il prend > > toujours la meme partition sd4 toujours hdd vierge ou non. Résultat > > ma config aux petits oignons grace à vous fichue à la poubelle > > > > et maintenant j'ai voulu gagneer du temps j'ai laissé DEBIAN faire > > les partitions comme un grand > > > > je peste je rage depuis : > > > > > > > > je reviens sur mon firewall indépendant et sur la mémoire > > > > > > je rencontre des difficultés de conception : debian rame : 512 mo de > > mem et 4Go de swap je voudrais équilibrer cela mais les sites y > > compris debianfr donnent des infos généralistes mais pas de réels > > tutos ou de solutions pour mettre en oeuvre un équilibrage. Cela > > manque mais j'ai la communauté avec moi n'est-ce pas ? > > > > Allez dites oui > > Merci > > > > donc pour la toute première fois, j'ai laissé debian de partitionner > > le hdd ainsi > > > > 9 partitions : > > > > ext3 /333M/141boot > > extended 74,20G > > ext3/usr8,4/4 > > ext3/var2,8G/972M > > non allouee985M > > ext3/tmp385/23M > > ext3/home20,11G/660M > > linux-swap3,91G > > non alloue1,37M > > ext437,67G/782pour donnees > > > > Par le moniteur systeme > > CPU mini35 pour cent > > memoire ram70 pour cent de 512 (350 env) > > swap6,2 pour cent de 3,9G (240M env) > > > > ce montage me semble curieux en sachant que pour gagner en swap je > > suis passé de swap 985 montée en origine par deb (maintenant non > > alloue) à 3;91G > > > > la tmp me semble tres légère > > > > Que dois-je modifier s'il y a qqchose à modifier. > > > > A vous relire > > > > > Bonjour, > > > la solution pare feu la plus légère : http://www.fli4l.de/ > > au départ il fallait une disquette de 3.5" > > slt > bernard > > -- > Lisez la FAQ de la liste avant de poser une question : > http://wiki.debian.org/fr/FrenchLists > > Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" > vers debian-user-french-requ...@lists.debian.org > En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org > Archive: > http://lists.debian.org/20111022183135.1cc5249d.bernard.schoenac...@free.fr >
Re: FIREWALL INDEPENDANT
Le Sat, 22 Oct 2011 16:16:50 +, jean durandt a écrit : > > Merci pour vos messages cela fait plaisir et rire aussi grâce à > votre humour. > > > j'ai commis une erreur et ai planté ma bécane > A 3h du mat et une nuit précédente écourtée, j'ai décidé de me lancer > sur IPFIRE > > je ne sais pas si ca marche, mais c'est une merde à installer : ce > c.. n'est pas capable de dire qu'il est handicapé donc il prend > toujours la meme partition sd4 toujours hdd vierge ou non. Résultat > ma config aux petits oignons grace à vous fichue à la poubelle > > et maintenant j'ai voulu gagneer du temps j'ai laissé DEBIAN faire > les partitions comme un grand > > je peste je rage depuis : > > > > je reviens sur mon firewall indépendant et sur la mémoire > > > je rencontre des difficultés de conception : debian rame : 512 mo de > mem et 4Go de swap je voudrais équilibrer cela mais les sites y > compris debianfr donnent des infos généralistes mais pas de réels > tutos ou de solutions pour mettre en oeuvre un équilibrage. Cela > manque mais j'ai la communauté avec moi n'est-ce pas ? > > Allez dites oui > Merci > > donc pour la toute première fois, j'ai laissé debian de partitionner > le hdd ainsi > > 9 partitions : > > ext3 /333M/141boot > extended 74,20G > ext3/usr8,4/4 > ext3/var2,8G/972M > non allouee985M > ext3/tmp385/23M > ext3/home20,11G/660M > linux-swap3,91G > non alloue1,37M > ext437,67G/782pour donnees > > Par le moniteur systeme > CPU mini35 pour cent > memoire ram70 pour cent de 512 (350 env) > swap6,2 pour cent de 3,9G (240M env) > > ce montage me semble curieux en sachant que pour gagner en swap je > suis passé de swap 985 montée en origine par deb (maintenant non > alloue) à 3;91G > > la tmp me semble tres légère > > Que dois-je modifier s'il y a qqchose à modifier. > > A vous relire > Bonjour, la solution pare feu la plus légère : http://www.fli4l.de/ au départ il fallait une disquette de 3.5" slt bernard -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/20111022183135.1cc5249d.bernard.schoenac...@free.fr
RE: FIREWALL INDEPENDANT
Merci pour vos messages cela fait plaisir et rire aussi grâce à votre humour. j'ai commis une erreur et ai planté ma bécane A 3h du mat et une nuit précédente écourtée, j'ai décidé de me lancer sur IPFIRE je ne sais pas si ca marche, mais c'est une merde à installer : ce c.. n'est pas capable de dire qu'il est handicapé donc il prend toujours la meme partition sd4 toujours hdd vierge ou non. Résultat ma config aux petits oignons grace à vous fichue à la poubelle et maintenant j'ai voulu gagneer du temps j'ai laissé DEBIAN faire les partitions comme un grand je peste je rage depuis : je reviens sur mon firewall indépendant et sur la mémoire je rencontre des difficultés de conception : debian rame : 512 mo de mem et 4Go de swap je voudrais équilibrer cela mais les sites y compris debianfr donnent des infos généralistes mais pas de réels tutos ou de solutions pour mettre en oeuvre un équilibrage. Cela manque mais j'ai la communauté avec moi n'est-ce pas ? Allez dites oui Merci donc pour la toute première fois, j'ai laissé debian de partitionner le hdd ainsi 9 partitions : ext3 /333M/141boot extended 74,20G ext3/usr8,4/4 ext3/var2,8G/972M non allouee985M ext3/tmp385/23M ext3/home20,11G/660M linux-swap3,91G non alloue1,37M ext437,67G/782pour donnees Par le moniteur systeme CPU mini35 pour cent memoire ram70 pour cent de 512 (350 env) swap6,2 pour cent de 3,9G (240M env) ce montage me semble curieux en sachant que pour gagner en swap je suis passé de swap 985 montée en origine par deb (maintenant non alloue) à 3;91G la tmp me semble tres légère Que dois-je modifier s'il y a qqchose à modifier. A vous relire > From: jfstrae...@scarlet.be > Date: Tue, 18 Oct 2011 12:53:59 +0200 > To: chevalierarth...@hotmail.com > Subject: Re: FIREWALL INDEPENDANT > > > Re, > > On Tue, Oct 18, 2011 at 07:57:37AM +, jean durandt wrote: > > [...] > > > Comme je ne veux pas paraître encore plus stupide, je te laisse > > découvrir les réponses ... :) > > Les 4-5 premières que je trouve clopent avec l'usage que j'en ai > fait... > > Y a peut-être des trucs salaces plus loin, mais je n'ai pas été jusque > là :-) > > > > mais peux-tu m'en donner une définition sérieuse ? que je puisse > > savoir à quoi cela correspond . merci > > C'est l'acronyme (pour moi, et comme je l'ai employé) de « In My > Humble Opinion ». > > C'était censé restituer rapidement dans la phrase le fait que, si je > pense du bien de Shorewall personnellement, en même temps je ne fais > aucunement autorité sur le sujet des firewalls pour affirmer comme un > fait que ce serait la solution ultime... > > Comme tu vois, IMHO est nettement plus court ;) > > A+ > > > -- > > JFS.
Re: FIREWALL INDEPENDANT
Re, On Mon, Oct 17, 2011 at 11:04:10AM +, jean durandt wrote: > Quelqu'un pourrait-il m'indiquer des tutos qui permettent de bien > cadrer le firewall en fr de préférence. J'ai près d'une centaine de > sélections mais effectivement on aborde correctement la question de > l'install mais la mise en prod avec des exemples concrets manquent > cruellement. Shorewall est un outil excellent, IMHO, tant par ce qu'il permet techniquement que par la qualité de sa documentation justement (en anglais, malheureusement pour toi, mais c'est abordable), qui comprend notamment un guide de démarrage rapide. Cerise sur le gâteau, le mainteneur du paquet Debian fait partie (ou du moins est très proche) des devs amont, ce qui se traduit par des backports squeeze (ou stable en Gal) hyper-rapides des dernières versions. Sans obligation d'achat, naturellement ; à toi de te faire une idée... Hih, -- JFS. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/20111017112046.ga25...@jones.jfs.dt
RE: FIREWALL INDEPENDANT
Oui papinux je suis dessus depuis la première réponse. ALcasar, j'abandonne tout simplement parce qu'il fonctionne sur mandriva ( j'ai trop galéré pour me mettre sur debian pour changer et partir maintenant sur un autre univers - je me fais peut-être des idées préconçues). Bref ALCASAR c'est non. SQUID c'est pas du gâteau mais pourquoi pas étant donné que vous avez fourni des éléments très appréciables tous autant que vous êtes. SENSE me tenterait bien mais je n'ai rien trouvé en traduction française - c'est mon point faible. DROIT ET JURIDIQUE merci pour toutes vos remarques très sensées et surtout très pragmatiques. Comme la majorité d'entre vous : je ne crois pas aujourd'hui que les Tribunaux soient en faveur de la veuve et de l'orphelin comme je l'ai appris dans mon droit estudiantin. Mais cela remonte à Napoléon ... un génie qui n'a pas trouvé son égal jusqu'à présent. :) Si vous êtes d'accord, sur le seul point "juridique et droit" - sauf texte juridique ou décision juridictionnelle récente - je propose que l'on aborde plus la question au risque de devenir troll ce qui n'est pas notre intention. QUESTION Quelqu'un pourrait-il m'indiquer des tutos qui permettent de bien cadrer le firewall en fr de préférence. J'ai près d'une centaine de sélections mais effectivement on aborde correctement la question de l'install mais la mise en prod avec des exemples concrets manquent cruellement. Merci Très cordialement > Date: Sat, 15 Oct 2011 12:06:21 +0200 > From: px+...@papinux.fr > To: debian-user-french@lists.debian.org > Subject: Re: FIREWALL INDEPENDANT > > Le Fri, 14 Oct 2011 21:47:27 +, jean durandt a écrit : > > > > > bonsoir > > Bonjour, > > > > > c'est la soirée, ce soir pour moi. > > > > j'ai décidé de mettre un firewall et malheureusement cela n'a pas été > > génial. j'ai donc cherché et j'ai perdu plusieurs liens intéressants pour > > lesquels je vous aurai demandé votre avis concernant la robustesse. > > ALCAZAR est l'un d'eux > > C'est Alcasar (http://www.alcasar.info/) basé sur une Mandriva. > > On t'a donné des pistes. Les as-tu suivies? > > -- > Px > > -- > Lisez la FAQ de la liste avant de poser une question : > http://wiki.debian.org/fr/FrenchLists > > Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" > vers debian-user-french-requ...@lists.debian.org > En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org > Archive: http://lists.debian.org/20111015120621.16e3aee4@lucifer >
Re: FIREWALL INDEPENDANT
On Sun, 16 Oct 2011 17:32:26 +0200 Yves Rutschle wrote: ... > Mais j'avoue que je suis naif et innocent, je n'ai aucune > idée de comment ça pourrait se conclure dans un tribunal. Depuis un certain temps, les tribunaux appliquent les lois à la lettre, même (surtout?) si elles sont débiles (pléonasme typiquement français) - certains sont également directement téléguidés par le pouvoir en place. Donc, je dirais que si la loi dit: "IP == Responsable" les juges ne se poseront aucune question. (Marrant, il me semble me rappeler de mes cours de droit que les divers codes élaborés par Napoléon parlaient de discernement dans le préambule, on en est fort éloigné...) Récente exception: la cour de cass. vient de mettre les blogueurs sur un pied d'égalité avec la presse conventionnelle et les journalistes; ce qui est une excellente chose pour la liberté d'expression: http://placedeletape.wordpress.com/ - une fois n'est pas coutume (apparemment, c'est un camouflet direct envers le pouvoir, puisque les minutes sont publiées sur le site de la cour de cass., chose relativement rare (moins de 1% des décisions sont rendues publiques par les magistrats). -- -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/20111016204316.787ed035@anubis.defcon1
Re: FIREWALL INDEPENDANT
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Le 16/10/2011 17:50, Yves Rutschle a écrit : > Bah, il admet alors avoir mis en place un système de > contournement de la politique de sécurité de son entreprise > (le VPN) pour mener des opérations illégales, j'ai du mal à > voir comment l'employeur pourrait être tenu responsable. Il n'admet rien du tout, on sait juste que quelqu'un l'a fait, c'est pas forcément lui =) > Mais j'avoue que je suis naif et innocent, je n'ai aucune > idée de comment ça pourrait se conclure dans un tribunal. +1, surtout en ce moment… - -- Aeris -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.11 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/ iQEcBAEBAgAGBQJOmxpRAAoJEK8zQvxDY4P95A0H/0hJCeN1u4RPDzJJ9A1US5gy vIMboH/lzqfUJyEzp+gWkUY1VTJlR+IRo2z57oTZmuy9XyXpmZyOG9aBJavOEisE wABO0V299eHW7R8XZQbGtNQc5tEswskdkqcKlvSZV8Hwuxymq4KTG8TZZfmjJjqJ 9PvXpEGzF+DqpSy0ga8lgWTlupfqIH/v8/zryx/E/PMBqYdMxO+duvmk+EPVn6qM 2aGsvzEC32p5akmbZB5BLS/0MczeecSp+lf9j4Q3vcBWE1x3SuRwAJI1sm2cU6HK XLwAOagvVljP++FseLijUtATgx2H3f880YmDI4CXqZo2begPJarmTAMI0UDuEFo= =GDlf -END PGP SIGNATURE- -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/4e9b1a59$0$32008$426a7...@news.free.fr
Re: FIREWALL INDEPENDANT
On Sat, Oct 15, 2011 at 02:23:03PM +0200, Aéris wrote: > > Note que du point de vue de l'hadopi, elle verra alors > > l'adresse IP résidentielle du téléchargeur, ce qui exclue de > > fait la responsabilité de l'entreprise: certes, les > > utilisateurs continuent à télécharger, mais sous leur propre > > responsabilité, ce qui est bien le but, si je ne m'abuse. > Lorsqu'il sera devant les tribunaux à la 3ème lettre, pour voliation de > propriété intellectuelle cette fois, je doute qu'il ne balancera pas que > le flux allait réellement vers sa boîte. Bah, il admet alors avoir mis en place un système de contournement de la politique de sécurité de son entreprise (le VPN) pour mener des opérations illégales, j'ai du mal à voir comment l'employeur pourrait être tenu responsable. Mais j'avoue que je suis naif et innocent, je n'ai aucune idée de comment ça pourrait se conclure dans un tribunal. Y. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/20111016153226.gc21...@naryves.com
Re: FIREWALL INDEPENDANT
Le 14/10/2011 23:47, jean durandt a écrit : bonsoir (..) PROBLEMATIQUE : je vais mets en service une bécane qui ne servira qu'à gérer la sécurité ( contre les téléchargements illégaux - là encore merci Hadopi pour la saloperie mise en place et les soi-disantes labellisations. je ne le dirai jamais assez : Voilà une loi arbitraire qui ne sert que ceux qui ne payent pas d'impots en france et qui vont vivre en CH). Bref je reviens à mon souci : une machine qui gère le flux donc firewall proxy routeur... deux cartes eth et avant un routeur wifi. je cherche une solution qui soit connue de la communauté - donc fiable, sérieuse, et efficace - tiens je viens de parler de lacommunauté qui me lit :) - et qui puisse ^etre appliquée en pme. le tout en transparence totale pour l'utilisateur. enregistrements des logs etc. ... j'aurai apprécié travailler avec une page - comme on trouve dans les hotels - en limitant par exemple la bande passante pour le téléchargement qui ne s'effectuerait pas dans le cadre de la loi. comme je l'ai dit je suis contre cette loi, mais il faut s'y plier et ceux qui pretent un accès internet sont les coupables désignés. On n'a jamais vu un armurier finir en taule parce qu'il avait vendu une arme. Avec hadopi si ! (..) Bonjour www.alcasar.info me parait correspondre à ce que vous cherchez : ALCASAR est positionné en coupure entre le réseau de consultation et Internet afin d'en interdire l'accès pour les usagers non authentifiés (identifiant + mot de passe). Il se comporte comme un sas d'accès pour l'ensemble des services Internet. Le contrôle des connexions permet, par exemple, de définir des usagers et des groupes d'usagers autorisés à se connecter. Pour chaque usager ou groupe d'usagers, il est possible de définir des dates de fin de validité, des créneaux de connexion hebdomadaire ainsi que des durées maximales de connexion, des débits ou des volumes maximum de données téléchargeables. Pour gérer les usagers, ALCASAR s'appuie sur une base interne qui peut être couplée à un annuaire externe de type LDAP ou Active Directory©. (extrait du pdf de présentation disponible dans la zone téléchargement). Par contre, Alcasar est basé sur Mandriva et non sur Debian. Il fait office de portail captif : toutes les sessions de navigation sont interceptées et renvoient vers la page de login. Cordialement, Stéphane Franceschetti
Re: FIREWALL INDEPENDANT
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Le 15/10/2011 14:10, Yves Rutschle a écrit : >> -- Celui qui veut réellement télécharger téléchargera. >> > Le petit malin montera un Corkscrew ou un ProxyTunnel pour shunter tout >> > le proxy avec une machine tiers, téléchargera depuis des sites de direct >> > download après avoir pris soin de monter chez lui un proxy HTTP > Note que du point de vue de l'hadopi, elle verra alors > l'adresse IP résidentielle du téléchargeur, ce qui exclue de > fait la responsabilité de l'entreprise: certes, les > utilisateurs continuent à télécharger, mais sous leur propre > responsabilité, ce qui est bien le but, si je ne m'abuse. Oui et non. Oui, HADOPI lui tombera dessus pour défaut de sécurisation, mais pas pour le piratage en lui-même. Lorsqu'il sera devant les tribunaux à la 3ème lettre, pour voliation de propriété intellectuelle cette fois, je doute qu'il ne balancera pas que le flux allait réellement vers sa boîte. S'il peut éviter une condamnation de 3 ans de prison et 300.000€ d'amende en balançant sa boîte — d'autant plus qu'il risque fort d'être déjà licencié donc qu'il n'a plus grand chose à perdre — il ne se génera pas ! - -- Aeris -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.11 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/ iQEcBAEBAgAGBQJOmXshAAoJEK8zQvxDY4P968cH/Ah4kRAMr3hLvf+3NV9/bOrd hwjdMPkXv2wG8PZE7Fdw7kZVLU8vP4GxR2EUsppBCQ/z+qn0YPxTXQI86p17OaVW hbxxmZhIiIzokZbe47UVujR13TMJzKem6v13UFRoTMraHb+IruIJOdjTReNLOZYs ZYS1sN1rSxHFyxUmXbgAYrI25EMyYoqDhYPGx7zDMtDhkgG5G7MyWnsc9KzXNQNJ t4i9iHTDAFp9yVgg+NxHT0yXwS4LCjuoqx52OREN6jqFIweGqVp0Q8l19hCWMVib b5UxV9/6L7o96b8lXGVpqZP/pztkYHYZVudJJ5QhYUgUNI0JP1RfZwi2G8qMv0E= =ii4S -END PGP SIGNATURE- -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/4e997b27$0$23302$426a7...@news.free.fr
Re: FIREWALL INDEPENDANT
On Sat, 15 Oct 2011 13:52:31 +0200 Yves Rutschle wrote: ... > Tu reçevras un... E-MAIL D'AVERTISSEMENT! > http://francepixel.fr/frenchdandy/hadopi-dessin-anime-cartoon/#more-809 Mouaaarf, on dirait la com' sur l'éducation sexuelle projetée dans les collèges US à la fin des années 50! (remarquons au passage le fantastique bond dans le futur que les administrations ont fait: du XVIIème siècle aux années 50, faut saluer l'exploit; enfin ptêt pas... vu ce que ça a encore dû coûter qq centaines de milliers d'euros au con-tribuable:( -- Be frank and explicit with your lawyer ... it is his business to confuse the issue afterwards. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/20111015142041.7ccbdc91@anubis.defcon1
Re: FIREWALL INDEPENDANT
On Sat, Oct 15, 2011 at 12:10:59PM +0200, Aéris wrote: > -- Celui qui veut réellement télécharger téléchargera. > Le petit malin montera un Corkscrew ou un ProxyTunnel pour shunter tout > le proxy avec une machine tiers, téléchargera depuis des sites de direct > download après avoir pris soin de monter chez lui un proxy HTTP Note que du point de vue de l'hadopi, elle verra alors l'adresse IP résidentielle du téléchargeur, ce qui exclue de fait la responsabilité de l'entreprise: certes, les utilisateurs continuent à télécharger, mais sous leur propre responsabilité, ce qui est bien le but, si je ne m'abuse. > Au final, le seul moyen de bloquer efficacement le téléchargement, ça > reste la pédagogie avec tes employés. > Mais ça, HADOPI a du l'oublier depuis longtemps ce mot... Tu reçevras un... E-MAIL D'AVERTISSEMENT! http://francepixel.fr/frenchdandy/hadopi-dessin-anime-cartoon/#more-809 Y. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/20111015115231.ga21...@naryves.com
Re: FIREWALL INDEPENDANT
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Le 15/10/2011 10:30, Samuel Cifuentes a écrit : > Le 14/10/2011 23:47, jean durandt a écrit : >> je vais mets en service une bécane qui ne servira qu'à gérer la >> sécurité ( contre les téléchargements illégaux ) Tu as oublié que la loi HADOPI est très mal faite… Même avec toute la sécurité du monde, celui qui veut vraiment télécharger téléchargera… Le plus emmerdé dans l'histoire, ce sont ceux qui ne téléchargeaient pas du tout (entreprises…) qui se retrouvent à devoir mettre en place des politiques de sécurité dignes du Pentagone et ceux qui téléchargeaient peu (particuliers qui téléchargeaient 1 film au mois) qui ne comprennent rien à la technique et sont totalement largués par rapport aux contraintes de la loi. Ceux qui ne sont pas emmerdés, ce sont les gros téléchargeurs, qui eux auront toujours les moyens de télécharger (VPN, proxy, IP étrangères, direct download…) et même pire de faire accuser les entités sus-nommées de leurs méfaits (SeedFuck, botnet & zombies…). Dans ton cas : — Celui qui ne télécharge pas sera emmerdé avec le proxy pour des tâches banales. Travaillant avec un Squid, c'est une véritable calamité ambulante dès qu'on sort du navigateur et que le logiciel utilisé ne permet la configuration dynamique proxy.pac (IDE, wget, messagerie instantanée type Kopete, IRC…). Oui parce que tes machines du LAN continueront à devoir être accédées sans proxy alors que tout le reste du flux devra passer par la passerelle. Si en plus tu as le malheur d'être dans une société multi-site comme moi, donc avec de multiples VPN, la table de routage proxy doit compter une 20aine de ligne, presque une par machine à accéder, table à saisir manuellement sur les machines et/ou dans chaque soft utilisé… — Celui qui veut réellement télécharger téléchargera. Le petit malin montera un Corkscrew ou un ProxyTunnel pour shunter tout le proxy avec une machine tiers, téléchargera depuis des sites de direct download après avoir pris soin de monter chez lui un proxy HTTP et de modifier son /etc/hosts pour que megaupload pointe chez lui (qui relaiera ensuite), ou tout bêtement passera par les multiples HTTP-proxies non bloqués par Squid car trop mouvants. Au final, le seul moyen de bloquer efficacement le téléchargement, ça reste la pédagogie avec tes employés. Mais ça, HADOPI a du l'oublier depuis longtemps ce mot… - -- Aeris -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.11 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org/ iQEcBAEBAgAGBQJOmVwtAAoJEK8zQvxDY4P9iu8H/2gsUNf9cGTN7H97CpgztdCK bAOv2zSQP92vPn/HHOikocMEDONZTnJC22nLHH2PzlDdJpG7owyxNEyqcb8QTs/h oMhp5IvEor1kUNK9GZP2zzlRUK+Rj7NwVVYZ6glm0xkz04fquelqOTUlfiOQ9ann CTYUsElIq79jXytdnD90tXmw3BudO9WpcktHIzCbsKSJ+bTiLeLKtLucMbD7cARO nlKwl2MBZfSloIY8M+sSVCARpZqmtfvpJ0VuACVkOqObXLaZ/2ht05W0rykel6Dc aA8DntzbmI7wdK/Ed9ygYjhdlHPTV1w8vtedUuFANoH0f+VsxCFNR8HfUjpqbm0= =11FH -END PGP SIGNATURE- -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/4e995c3c$0$29392$426a7...@news.free.fr
Re: FIREWALL INDEPENDANT
Le Fri, 14 Oct 2011 21:47:27 +, jean durandt a écrit : > > bonsoir Bonjour, > > c'est la soirée, ce soir pour moi. > > j'ai décidé de mettre un firewall et malheureusement cela n'a pas été génial. > j'ai donc cherché et j'ai perdu plusieurs liens intéressants pour lesquels je > vous aurai demandé votre avis concernant la robustesse. > ALCAZAR est l'un d'eux C'est Alcasar (http://www.alcasar.info/) basé sur une Mandriva. On t'a donné des pistes. Les as-tu suivies? -- Px -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/20111015120621.16e3aee4@lucifer
Re: FIREWALL INDEPENDANT
jean durandt writes: Bonjour, > merci pour votre réponse qui entraîne une nouvelle question ? > > entre ALCAZAR et IPCOP lequel sera le plus puissant - même s'il est > difficile à configurer la doc cela existe en premier lieu. > > j'ai vraiment un souci d'usage et je veux pouvoir interdire certains > sites ou certains types de paquets à télécharger (torrent, certaines > extensions etc;) je ne sais pas si c'est bien clair pour toi, mais il n'existe qu'un seul firewall sous Linux, il est intégré au noyau et se configure par la commande iptables. Quant au proxy http, ça sera sûrement squid avec squidguard pour affiner le filtrage. La ribambelle de logiciels, ou même distributions, que tu qualifies de "firewall" sont simplement une enveloppe pour les mêmes briques de bases. Donc, en terme de "puissance", c'est la même chose. Ce qui va faire la différence pour toi, c'est leur ergonomie, leur documentation, leur facilité de configuration, d'utilisation et d'administration. C'est très subjectif, il te faudra sans doute les tester toi-même et te faire ta propre idée par rapport à tes besoins. Quel que soit le frontal que tu choisiras, tu aboutiras plus ou moins au même résultat : blocage du trafic sortant directement, obligation de passer par des services hébergés par la passerelle (proxy http avec filtrage, serveur DNS, etc), authentification ; avec utilisation des mêmes briques de base, à peu de choses près. -- Léo. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/87k486k2tm@stellie.bailly.home
RE: FIREWALL INDEPENDANT
merci pour votre réponse qui entraîne une nouvelle question ? entre ALCAZAR et IPCOP lequel sera le plus puissant - même s'il est difficile à configurer la doc cela existe en premier lieu. j'ai vraiment un souci d'usage et je veux pouvoir interdire certains sites ou certains types de paquets à télécharger (torrent, certaines extensions etc;) merci > Date: Sat, 15 Oct 2011 10:19:52 +0200 > From: scifuentesfav...@gmail.com > To: debian-user-french@lists.debian.org > Subject: Re: FIREWALL INDEPENDANT > > Le 14/10/2011 23:47, jean durandt a écrit : > > bonsoir > > > > c'est la soirée, ce soir pour moi. > > > > j'ai décidé de mettre un firewall et malheureusement cela n'a pas été > > génial. j'ai donc cherché et j'ai perdu plusieurs liens intéressants pour > > lesquels je vous aurai demandé votre avis concernant la robustesse. > > ALCAZAR est l'un d'eux > > > > bonjour > IPCop est est un autre > > > PROBLEMATIQUE : > > > > je vais mets en service une bécane qui ne servira qu'à gérer la sécurité ( > > contre les téléchargements illégaux - là encore merci Hadopi pour la > > saloperie mise en place et les soi-disantes labellisations. je ne le dirai > > jamais assez : Voilà une loi arbitraire qui ne sert que ceux qui ne payent > > pas d'impots en france et qui vont vivre en CH). > > > > Bref je reviens à mon souci : > > une machine qui gère le flux donc firewall proxy routeur... deux cartes eth > > et avant un routeur wifi. > > > > je cherche une solution qui soit connue de la communauté - donc fiable, > > sérieuse, et efficace - tiens je viens de parler de lacommunauté qui me lit > > :) - et qui puisse ^etre appliquée en pme. le tout en transparence totale > > pour l'utilisateur. > > enregistrements des logs etc. ... > > > > j'aurai apprécié travailler avec une page - comme on trouve dans les > > hotels - en limitant par exemple la bande passante pour le téléchargement > > qui ne s'effectuerait pas dans le cadre de la loi. comme je l'ai dit je > > suis contre cette loi, mais il faut s'y plier et ceux qui pretent un accès > > internet sont les coupables désignés. On n'a jamais vu un armurier finir en > > taule parce qu'il avait vendu une arme. Avec hadopi si ! > > > > Dans mes recherches, j'ai vu aussi qu'il existait des Os firewall sous > > debian. qu'en pensez-vous ? > > > > Mais là encore il y a trop de choix > > > > alcasar pfsenser shorewall > > > > MERCI POUR VOTRE AIDE PRECIEUSE. > > > > > > -- > Lisez la FAQ de la liste avant de poser une question : > http://wiki.debian.org/fr/FrenchLists > > Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" > vers debian-user-french-requ...@lists.debian.org > En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org > Archive: http://lists.debian.org/4e994228.5020...@gmail.com >
Re: FIREWALL INDEPENDANT
Le 14/10/2011 23:47, jean durandt a écrit : bonsoir c'est la soirée, ce soir pour moi. j'ai décidé de mettre un firewall et malheureusement cela n'a pas été génial. j'ai donc cherché et j'ai perdu plusieurs liens intéressants pour lesquels je vous aurai demandé votre avis concernant la robustesse. ALCAZAR est l'un d'eux bonjour IPCop est est un autre PROBLEMATIQUE : je vais mets en service une bécane qui ne servira qu'à gérer la sécurité ( contre les téléchargements illégaux - là encore merci Hadopi pour la saloperie mise en place et les soi-disantes labellisations. je ne le dirai jamais assez : Voilà une loi arbitraire qui ne sert que ceux qui ne payent pas d'impots en france et qui vont vivre en CH). Bref je reviens à mon souci : une machine qui gère le flux donc firewall proxy routeur... deux cartes eth et avant un routeur wifi. je cherche une solution qui soit connue de la communauté - donc fiable, sérieuse, et efficace - tiens je viens de parler de lacommunauté qui me lit :) - et qui puisse ^etre appliquée en pme. le tout en transparence totale pour l'utilisateur. enregistrements des logs etc. ... j'aurai apprécié travailler avec une page - comme on trouve dans les hotels - en limitant par exemple la bande passante pour le téléchargement qui ne s'effectuerait pas dans le cadre de la loi. comme je l'ai dit je suis contre cette loi, mais il faut s'y plier et ceux qui pretent un accès internet sont les coupables désignés. On n'a jamais vu un armurier finir en taule parce qu'il avait vendu une arme. Avec hadopi si ! Dans mes recherches, j'ai vu aussi qu'il existait des Os firewall sous debian. qu'en pensez-vous ? Mais là encore il y a trop de choix alcasar pfsenser shorewall MERCI POUR VOTRE AIDE PRECIEUSE. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org Archive: http://lists.debian.org/4e994228.5020...@gmail.com
Re: firewall et pidgin
Pascal Hambourg à écrit le Mon, 07 Sep 2009 11:37:07 +0200 > Grégory Bulot a écrit : > > > > j'utilise gmail, msn sans avoir modifier mes règles firewall et j'ai > > aucun soucis ! > > Tu filtres en sortie ? non, réseau familial, pas de pc sous ms-windows, je prends le risque. > Normalement ces modules devraient être chargés automatiquement lors de > l'exécution de commandes iptables impliquant les tables (nat), > correspondances (state) et cibles (REDIRECT, SNAT) qui en ont besoin. sûrement, mais je me pose des questions concernant la machine 'routeur' de Vilasith Phonepadith (les mêmes que les votres, post de 12:02), surtout vu le côté aléatoire des ports xmpp (j'ai 2 compte gmail via pidgin) et c'est pas vraiment contigu (côté pc utilisant pidgin évidement) -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Re: firewall et pidgin
Vilasith Phonepadith a écrit : > > je peux maintenant utiliser mon Pidgin avec un seul compte de XMPP de > gmail. Les autres ne marchent pas comme tjrs. Question : tu utilises pidgin depuis cette machine (qui visiblement sert de routeur NAT et de proxy HTTP) ou depuis un poste du réseau local ? -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Re: firewall et pidgin
Grégory Bulot a écrit : > > j'utilise gmail, msn sans avoir modifier mes règles firewall et j'ai > aucun soucis ! Tu filtres en sortie ? > faudrait pas voir du côté de iptables_nat et ip_conntrack à charger ? Normalement ces modules devraient être chargés automatiquement lors de l'exécution de commandes iptables impliquant les tables (nat), correspondances (state) et cibles (REDIRECT, SNAT) qui en ont besoin. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
RE: firewall et pidgin
Bonjour, Merci pour les réponses, après d'avoir essayé toute la journée, je peux maintenant utiliser mon Pidgin avec un seul compte de XMPP de gmail. Les autres ne marchent pas comme tjrs. Un peu de modification comme suivant : *** # Autoriser le port Pidgin iptables -A INPUT -p tcp -s 192.168.100.0/24 --dport 5222 -j ACCEPT iptables -A INPUT -p tcp -d 192.168.100.0/24 --dport 5222 -j ACCEPT iptables -A FORWARD -p tcp -s 192.168.100.0/24 --dport 5222 -j ACCEPT iptables -A FORWARD -p tcp -d 192.168.100.0/24 --dport 5222 -j ACCEPT # Autoriser le port MSN Messenger iptables -A OUTPUT --protocol tcp --dport 1863 -m state --state NEW,ESTABLISHED -j ACCEPT iptables -A INPUT --protocol tcp --sport 1863 -m state --state ESTABLISHED -j ACCEPT # Autoriser le port de Yahoo Messenger iptables -t filter -A FORWARD -p tcp --sport 5050 -j ACCEPT iptables -t filter -A FORWARD -p tcp --dport 5050 -j ACCEPT *** Merci pour ajouter quelques lignes comme le cadeau à moi... Bonne journée, Stulao > Date: Mon, 7 Sep 2009 10:36:48 +0200 > From: pascal.m...@plouf.fr.eu.org > To: debian-user-french@lists.debian.org > Subject: Re: firewall et pidgin > > Salut, > > J'ai essayé de configurer mon fichier /etc/network/firewall.sh, mais > j'arrive jamais à réusir. Mon objectif, je veux utiliser le Pidgin pour > chatter avec les protocoles de Hotmail, Yahoo, et Gmail. > > Vilasith Phonepadith a écrit : > > > > J'ai essayé de configurer mon fichier /etc/network/firewall.sh, mais > > j'arrive jamais à réusir. Mon objectif, je veux utiliser le Pidgin pour > > chatter avec les protocoles de Hotmail, Yahoo, et Gmail. > > > > Voiçi mon fichier de /etc/network/firewall.sh > [...] > Les commentaires associés aux règles me font soupçonner une grande > méconnaissance de la fonction exacte de ces règles. J'espère me tromper. > > > # Autoriser les connexions Pidgin ( 5222 ) avec messenger.hotmail.com > > #iptables -A FORWARD -p tcp -s 192.168.100.0/24 -d 64.4.13.190/32 --dport > > 5050 -j ACCEPT > > > > # Ouvrir les ports utilisés > > iptables -t filter -A OUTPUT -p tcp --dport 5222 -j ACCEPT > > D'accord avec la réponse de Cédric concernant MSN Messenger. Le port > 5222 est utilisé par la messagerie instantanée Jabber, et le port 5050 > par la messagerie instantanée Yahoo. > > Une méthode empirique pour déterminer les caractéristiques des paquets à > accepter consiste à générer du trafic avec l'application et examiner les > paquets avec un logiciel de capture (tcpdump, wireshark...) sur > l'interface concernée ou avec une règle iptables LOG dans la chaîne > concernée. A faire plusieurs fois pour voir si les adresses et/ou les > ports changent. Attention, certaines fonctions des messageries > instantanées comme le transfert de fichiers ou la visioconférence > peuvent impliquer des ports différents (et variables) voire des > connexions entrantes. > > -- > Lisez la FAQ de la liste avant de poser une question : > http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot > ``spam'' dans vos champs "From" et "Reply-To:" > > Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" > vers debian-user-french-requ...@lists.debian.org > En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org > _ Messenger débarque dans Hotmail ! Essayez-le ! http://www.windowslive.fr/hotmail/web-messenger/
Re: firewall et pidgin
Vilasith Phonepadith à écrit le Mon, 7 Sep 2009 10:30:51 +0700 > > Bonjour, > > J'ai essayé de configurer mon fichier /etc/network/firewall.sh, mais > j'arrive jamais à réusir. Mon objectif, je veux utiliser le Pidgin > pour chatter avec les protocoles de Hotmail, Yahoo, et Gmail. j'utilise gmail, msn sans avoir modifier mes règles firewall et j'ai aucun soucis ! faudrait pas voir du côté de iptables_nat et ip_conntrack à charger ? -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Re: firewall et pidgin
Le lundi 07 septembre 2009 05:30:51, Vilasith Phonepadith a écrit : > # Autoriser les connexions Pidgin ( 5222 ) avec messenger.hotmail.com > #iptables -A FORWARD -p tcp -s 192.168.100.0/24 -d 64.4.13.190/32 --dport > 5050 -j ACCEPT Hmm, déjà, il me semble que c'est 1863 le port de MSN. Ensuite, messenger.hotmail.com, ca résoud jamais de la même facon, donc filtrer avec une machine en destination n'est pas la bonne solution ;) Cédric -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Re: firewall et pidgin
Salut, > J'ai essayé de configurer mon fichier /etc/network/firewall.sh, mais j'arrive jamais à réusir. Mon objectif, je veux utiliser le Pidgin pour chatter avec les protocoles de Hotmail, Yahoo, et Gmail. Vilasith Phonepadith a écrit : > > J'ai essayé de configurer mon fichier /etc/network/firewall.sh, mais > j'arrive jamais à réusir. Mon objectif, je veux utiliser le Pidgin pour > chatter avec les protocoles de Hotmail, Yahoo, et Gmail. > > Voiçi mon fichier de /etc/network/firewall.sh [...] Les commentaires associés aux règles me font soupçonner une grande méconnaissance de la fonction exacte de ces règles. J'espère me tromper. > # Autoriser les connexions Pidgin ( 5222 ) avec messenger.hotmail.com > #iptables -A FORWARD -p tcp -s 192.168.100.0/24 -d 64.4.13.190/32 --dport > 5050 -j ACCEPT > > # Ouvrir les ports utilisés > iptables -t filter -A OUTPUT -p tcp --dport 5222 -j ACCEPT D'accord avec la réponse de Cédric concernant MSN Messenger. Le port 5222 est utilisé par la messagerie instantanée Jabber, et le port 5050 par la messagerie instantanée Yahoo. Une méthode empirique pour déterminer les caractéristiques des paquets à accepter consiste à générer du trafic avec l'application et examiner les paquets avec un logiciel de capture (tcpdump, wireshark...) sur l'interface concernée ou avec une règle iptables LOG dans la chaîne concernée. A faire plusieurs fois pour voir si les adresses et/ou les ports changent. Attention, certaines fonctions des messageries instantanées comme le transfert de fichiers ou la visioconférence peuvent impliquer des ports différents (et variables) voire des connexions entrantes. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Re: firewall et pidgin
Cédric Bellegarde a écrit : Le lundi 07 septembre 2009 05:30:51, Vilasith Phonepadith a écrit : # Autoriser les connexions Pidgin ( 5222 ) avec messenger.hotmail.com #iptables -A FORWARD -p tcp -s 192.168.100.0/24 -d 64.4.13.190/32 --dport 5050 -j ACCEPT Hmm, déjà, il me semble que c'est 1863 le port de MSN. Ensuite, messenger.hotmail.com, ca résoud jamais de la même facon, donc filtrer avec une machine en destination n'est pas la bonne solution ;) Sans doute pas lié, mais avec la nouvelle version de pidgin (dans sid), la connection avec le serveur messenger ne se fait plus lorsqu'on utilise network-manager et que celui-ci pense que la connection est HS (si on a un /etc/network/interfaces configuré) Il faut dans ce cas lancer pidgin avec l'option "-f" pour forcer la connection (ou desinstaller network-manager). Guy -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
Re: firewall et pidgin
Le lundi 07 septembre 2009 05:30:51, Vilasith Phonepadith a écrit : > # Autoriser les connexions Pidgin ( 5222 ) avec messenger.hotmail.com > #iptables -A FORWARD -p tcp -s 192.168.100.0/24 -d 64.4.13.190/32 --dport > 5050 -j ACCEPT Hmm, déjà, il me semble que c'est 1863 le port de MSN. Ensuite, messenger.hotmail.com, ca résoud jamais de la même facon, donc filtrer avec une machine en destination n'est pas la bonne solution ;) Cédric -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.org/fr/FrenchLists Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" Pour vous DESABONNER, envoyez un message avec comme objet "unsubscribe" vers debian-user-french-requ...@lists.debian.org En cas de soucis, contactez EN ANGLAIS listmas...@lists.debian.org
RE : Re: [firewall] iptables, le script parfait?
Merci ! Effectivement, il faut l'adapter, mais j'aime particulièrement la modulation en différents fichiers et le soin apporté aux détails avant de commencer de suite par les règles à proprement dites. En revanche, l'idée d'intégrer le port knocking directement dans iptables m'était nouvelle. Je ne sais pas encore si j'adopte, étant donné que dans mon cas, ce sont un client et un serveur qui utilisent le chiffrement (en rc4 pour le moment mais je changerai cela bientôt). En tout cas, joli travail ! Self Trix Franck Joncourt <[EMAIL PROTECTED]> a écrit : -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Self Trix wrote: > Bonjour, Bonsoir, > Le fichier suivant ne semble plus disponible: > > http://smhteam.info/upload_wiki/firewall.tar.gz > Y a-t-il moyen de le remettre pour le téléchargement, au moins aujourd'hui > le temps que j'y jette un coup d'oeil ? http://toystory.podzone.org/smhfw/ Tu vas dans "browser source" et tu auras les sources en consultation. J'ai mis subversion en place avec trac pour la gestion du script. Note : Cela ne sert a rien de le recopier, je prefererais plutot que les gens essaye de comprendre le fonctionnement, et l'adapte a leurs besoins. Je reste a disposition si tu as des questions dessus ou des remarques. - -- Franck Joncourt http://www.debian.org http://smhteam.info/wiki/ GPG server : pgpkeys.mit.edu Fingerprint : C10E D1D0 EF70 0A2A CACF 9A3C C490 534E 75C0 89FE -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.6 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFFzMJsxJBTTnXAif4RAmzZAKDGrA4EO2xr5xdVooacOGBs9MfR/QCg0LbG A9cA62JUjEGwfpJey0i0nB4= =ibNL -END PGP SIGNATURE- ___ Try the all-new Yahoo! Mail. "The New Version is radically easier to use" The Wall Street Journal http://uk.docs.yahoo.com/nowyoucan.html -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED] - Découvrez une nouvelle façon d'obtenir des réponses à toutes vos questions ! Profitez des connaissances, des opinions et des expériences des internautes sur Yahoo! Questions/Réponses.
Re: [firewall] iptables, le script parfait?
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Self Trix wrote: > Bonjour, Bonsoir, > Le fichier suivant ne semble plus disponible: > > http://smhteam.info/upload_wiki/firewall.tar.gz > Y a-t-il moyen de le remettre pour le téléchargement, au moins aujourd'hui le > temps que j'y jette un coup d'oeil ? http://toystory.podzone.org/smhfw/ Tu vas dans "browser source" et tu auras les sources en consultation. J'ai mis subversion en place avec trac pour la gestion du script. Note : Cela ne sert a rien de le recopier, je prefererais plutot que les gens essaye de comprendre le fonctionnement, et l'adapte a leurs besoins. Je reste a disposition si tu as des questions dessus ou des remarques. - -- Franck Joncourt http://www.debian.org http://smhteam.info/wiki/ GPG server : pgpkeys.mit.edu Fingerprint : C10E D1D0 EF70 0A2A CACF 9A3C C490 534E 75C0 89FE -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.6 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFFzMJsxJBTTnXAif4RAmzZAKDGrA4EO2xr5xdVooacOGBs9MfR/QCg0LbG A9cA62JUjEGwfpJey0i0nB4= =ibNL -END PGP SIGNATURE- ___ Try the all-new Yahoo! Mail. "The New Version is radically easier to use" � The Wall Street Journal http://uk.docs.yahoo.com/nowyoucan.html -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
RE : Re: [firewall] iptables, le script parfait?
Bonjour, Le fichier suivant ne semble plus disponible: http://smhteam.info/upload_wiki/firewall.tar.gz Y a-t-il moyen de le remettre pour le téléchargement, au moins aujourd'hui le temps que j'y jette un coup d'oeil ? Merci, Self Trix -- franck <[EMAIL PROTECTED]> a écrit : -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 [EMAIL PROTECTED] wrote: > Bonjours, > > voilà, j'aimerai savoir si une personne avait fait un script iptables > pas mal? (parfait même) > qui bloque ce qu'il faut bloqué (SYN FLOOD, SCAN NULL) > un peut comme iplog (qui enregistre les types d'attaque connues) mais > sans iplog... > > je vous remerci d'avance > > Bonsoir, tu peux jeter un coup d'oeil sur : http://smhteam.info/upload_wiki/firewall.tar.gz tu y trouveras peut etre ton bonheur. Je l'ai mis au point avec l'aide de la liste. Il ne correspondra pas forcement a tes besoins, mais tu peux surement reprendre des idees. - -- Franck Joncourt http://www.debian.org http://smhteam.info/wiki/ GPG server : pgpkeys.mit.edu Fingerprint : C10E D1D0 EF70 0A2A CACF 9A3C C490 534E 75C0 89FE -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.6 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFFwjcpxJBTTnXAif4RAkHKAJ9Q5nJE7WNBCy7tVso7XGVW8o+ftgCfYLTA 8JgV6Bb2dUzbkyIlSnRIgXw= =JoEx -END PGP SIGNATURE- ___ The all-new Yahoo! Mail goes wherever you go - free your email address from your Internet provider. http://uk.docs.yahoo.com/nowyoucan.html -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED] - Découvrez une nouvelle façon d'obtenir des réponses à toutes vos questions ! Profitez des connaissances, des opinions et des expériences des internautes sur Yahoo! Questions/Réponses.
Re: [firewall] iptables, le script parfait?
Le Sat, 03 Feb 2007 11:56:47 +0100 franck <[EMAIL PROTECTED]> a écrit: > -BEGIN PGP SIGNED MESSAGE- > Hash: SHA1 > > Gaëtan PERRIER wrote: > > Tout d'abord merci pour l'analyse! > > Je vois que j'ai encore à apprendre (mais bon je m'y attendais!) > > Réponses insérées: > > > > >> Ça commence mal. Un jeu de règles sans chaînes utilisateur ne > >> peut pas être un bon jeu de règles. ;-) > > > > Bon, je me pencherai sur la question des chaînes utilisateurs. > > Pour l'instant je ne sais pas ce que c'est... > > > > # Creer les chaines utilisateurs lan_inputs et wan_inputs > iptables -N lan_inputs > iptables -N wan_inputs > > # Rediriger le flux d'entree dans les chaines utilisateurs en > # fonction > de leur provenance et dropper le reste. > iptables -A INPUT -i $lan_iface -j lan_inputs > iptables -A INPUT -i $wan_iface -j wan_inputs > iptables -A INPUT DROP > > # Effectuer le traitement du flux en provenance de lan > iptables -A lan_inputs ... > > # Effectuer le traitement du flux en provenence de wan > iptables -A wan_inputs ... > > C'est un exemple d'utilisation, pour montrer le principe. Il n'a > rien de fonctionnel. Merci, va falloir que je regarde de plus prêt tout ça. Pour l'instant je manque de temps. > > >>> # Paramètrage de la connexion Internet (WAN = Wild Area Network > >>> # = Réseau Large) > >>> WAN_INTERFACE=adsl; # Interface réseau externe > >>> (Internet) if [ -z "$@" ]; then > >>> WAN_IP=`/sbin/ifconfig $WAN_INTERFACE | grep "inet adr" > >>> | sed "s/^[: a-z]*\([.0-9]*\).*/\1/g"` ; # Récupère l'adresse > >>> réseau externe (Internet) elif [ "$@" == "boot" ]; then WAN_IP= > >>> $new_ip_address fi > >> Où la variable $new_ip_address est-elle définie ? Que > >> contient-elle ? > > > > ça vient du client dhcp. Ce script est appelé à chaque > > attribution d'une adresse ip sur mon interface réseaux allant > > vers internet. > > > > Tu la considere comme variable d'environnement, alors ? Si c'est le > cas moi je la mettrais en majuscule. Je ne peux pas car ce n'est pas moi qui la définit c'est une variable de dhcp client... > > >> [...] > >>> ### > >>> # Règles de conexion au reseau local > >> "connexion". > >> > >>> # Tout est autorisé > >>> ### > >>> > >>> echo "+ Règles du réseau local ($LAN_INTERFACE - $LAN_IP - > >>> $LAN_NETWORK)" > >>> # Connexions firewall <-> réseau > >>> iptables -t filter -A OUTPUT -o $LAN_INTERFACE -s $LAN_IP -d > >>> $LAN_NETWORK -p all -j ACCEPT iptables -t filter -A INPUT -i > >>> $LAN_INTERFACE -s $LAN_NETWORK -d $LAN_IP -p all -j ACCEPT > >> Ces règles oublient de prendre en compte les paquets émis (resp. > >> reçus) sur $LAN_INTERFACE avec l'adresse source (resp. > >> destination) $WAN_IP, qui sont pourtant parfaitement légitimes. > >> Ne pas oublier qu'une adresse IP appartient à une machine au > >> moins autant qu'à une interface. > > > > Je n'ai pas bien compris comment ça peu arriver? > > Je ne suis pas certain de ce que j'avance mais, a mon avis, c'est la > table de routage qui se charge de verifier la concordance entre ip > et interface comme tu l'entends, et comme je l'entendais avant :p! > > >>> echo "+ Règles pour Internet ($WAN_INTERFACE - $WAN_IP - > >>> $WAN_NETWORK)" iptables -t filter -A OUTPUT -o $WAN_INTERFACE -s > >>> $WAN_IP -d $WAN_NETWORK -p all -m state --state ! > >>> INVALID -j ACCEPT iptables -t filter -A INPUT -i > >>> $WAN_INTERFACE -s $WAN_NETWORK -d $WAN_IP -p tcp --tcp-flags ! > >>> ALL SYN -m state --state NEW,RELATED -j DROP #06/05/2006 > >>> iptables -t filter -A INPUT -i $WAN_INTERFACE -s $WAN_NETWORK > >>> -d $WAN_IP -p all -m state --state RELATED,ESTABLISHED -j > >>> ACCEPT iptables -t filter -A INPUT -i $WAN_INTERFACE -s > >>> $WAN_NETWORK -d $WAN_IP -p tcp --destination-port auth -j > >>> REJECT --reject-with tcp-reset > >>> #06/05/2006 > >> La dernière règle ne serait pas nécessaire si toutes les > >> connexions indésirables étaient traitées par REJECT au lieu de > >> DROP. > > > > Peux-tu m'expliquer pourquoi? > > Initialement je n'avais pas les lignes finissant par #06/05/2006, > > sont-elles nécessaires? > > > > J'ai jamais procede de cette facon donc je ne sais pas trop. > > >>> echo 1 > /proc/sys/net/ipv4/ip_forward > >>> > >>> else > >>> echo "+ Le port forwarding N'est PAS autorisé" > >>> if [ "$NAT" == "0" ]; then > >>> echo 0 > /proc/sys/net/ipv4/ip_forward > >>> fi > >>> fi > >> Le test de la valeur de $NAT ne sert à rien puisque de toute > >> façon ip_forward est déjà à 0. Voir mon commentaire sur l'IP > >> masquerading. > > > > Oui ce n'est pas faux! Mais bon le port forwarding n'est pas > > utilisé, donc pas grave. :-) > > Le mieux serait donc de les supprimer, a moins que tu utilises le > script sur une autre machine en ayant l'utilite. C'est fait j'ai supprimé. > > >>> echo "+ A
Re: [firewall] iptables, le script parfait?
Le Sat, 03 Feb 2007 13:58:40 +0100 Pascal Hambourg <[EMAIL PROTECTED]> a écrit: > Gaëtan PERRIER a écrit : > >> > >>Ça commence mal. Un jeu de règles sans chaînes utilisateur ne peut > >>pas être un bon jeu de règles. ;-) > > > > Bon, je me pencherai sur la question des chaînes utilisateurs. > > Pour l'instant je ne sais pas ce que c'est... > > Voir la documentation de Netfilter/iptables. Comme son nom > l'indique, une chaîne utilisateur est une chaîne créée par > l'utilisateur avec iptables -N. On peut on peut y créer des règles > avec iptables -A et on peut l'appeler à partir d'une règle comme > une cible avec l'option -j. C'est une sorte de sous-programme pour > iptables. Une chaîne utilisateur peut être appelée depuis plusieurs > endroits, y compris plusieurs chaînes de base. Elle permet > notamment de "factoriser" des critères de correspondance communs à > plusieurs règles (ex: regrouper toutes les règles relatives à un > interface d'entrée ou un état) ou de faire les mêmes tests à > plusieurs endroits sans dupliquer les règles (ex: même vérification > d'adresse/port dans INPUT et FORWARD). Pour info, mon jeu de règles > contient une cinquantaine de chaînes utilisateur. Ok, je regarderais et j'essaierai de refaire mon script avec ce principe... quand j'aurai plus de temps. > > >>Où la variable $new_ip_address est-elle définie ? Que > >>contient-elle ? > > > > ça vient du client dhcp. Ce script est appelé à chaque attribution > > d'une adresse ip sur mon interface réseaux allant vers internet. > > Justement, je voulais en parler dans ma réponse précédente. Il > n'est pas nécessaire de réinitialiser toutes les règles. Il > suffirait d'effacer et recréer uniquement les règles liées à > l'adresse susceptible de changer. Et pour limiter le nombre de > règles impliquées, les chaînes utilisateur sont d'une grande aide. > C'est ce que je fais pour mes interfaces PPP. Oui, mais en fait je n'appelle ce script que si j'ai une attribution d'une adresse par DHCP sur mon interface adsl. Si jamais le câble est débranché par exemple, je n'ai pas de firewall de mis en place. Donc si je distingue par interface il faudra que je lance le script 2 fois. Je ne pense pas que ce soit super gênant de tout refaire à chaque fois et encore faut-il que l'adresse de l'interface adsl soit modifier par dhcp. > > >>>### > >>># Règles de conexion au reseau local > >>># Tout est autorisé > >>>### > >>> > >>>echo "+ Règles du réseau local ($LAN_INTERFACE - $LAN_IP - > >>>$LAN_NETWORK)" > >>># Connexions firewall <-> réseau > >>>iptables -t filter -A OUTPUT -o $LAN_INTERFACE -s $LAN_IP -d > >>>$LAN_NETWORK -p all -j ACCEPT iptables -t filter -A INPUT -i > >>>$LAN_INTERFACE -s $LAN_NETWORK -d $LAN_IP -p all -j ACCEPT > >> > >>Ces règles oublient de prendre en compte les paquets émis (resp. > >>reçus) sur $LAN_INTERFACE avec l'adresse source (resp. > >>destination) $WAN_IP, qui sont pourtant parfaitement légitimes. > > > > Je n'ai pas bien compris comment ça peu arriver? > > Si tu veux établir une communication (par exemple un simple ping) > vers l'adresse WAN de la passerelle depuis un poste du LAN. C'est > parfaitement légal, et pourtant tes règles la bloqueraient, ainsi > que la réponse. Un point souvent mal compris est qu'une adresse IP > ne doit pas être considérée comme identifiant l'interface qui la > porte mais la machine tout entière. Opérationnellement, il n'y a > pas de lien entre les interfaces et les adresses locales et on peut > utiliser n'importe quelle adresse locale avec n'importe quelle > interface. Ce n'est que dans certains cas particulier qu'il peut > être souhaitable d'interdire les communications avec une adresse > donnée sur une interface particulière ; par exemple interdire > l'adresse privée sur l'interface WAN parce qu'une adresse privée ne > devrait jamais apparaître sur l'internet public. Ok donc j'ai rajouté: iptables -t filter -A OUTPUT -o $LAN_INTERFACE -s $WAN_IP -d $LAN_NETWORK -p all -j ACCEPT iptables -t filter -A INPUT -i $LAN_INTERFACE -s $LAN_NETWORK -d $WAN_IP -p all -j ACCEPT > > >>>echo "+ Règles pour Internet ($WAN_INTERFACE - $WAN_IP - > >>>$WAN_NETWORK)" iptables -t filter -A OUTPUT -o $WAN_INTERFACE -s > >>>$WAN_IP -d $WAN_NETWORK -p all -m state --state ! INVALID -j > >>>ACCEPT iptables -t filter -A INPUT -i $WAN_INTERFACE -s > >>>$WAN_NETWORK -d $WAN_IP -p tcp --tcp-flags ! ALL SYN -m state > >>>--state NEW,RELATED -j DROP #06/05/2006 iptables -t filter -A > >>>INPUT -i $WAN_INTERFACE -s $WAN_NETWORK -d $WAN_IP -p all -m > >>>state --state RELATED,ESTABLISHED -j ACCEPT iptables -t filter > >>>-A INPUT -i $WAN_INTERFACE -s $WAN_NETWORK -d $WAN_IP -p tcp > >>>--destination-port auth -j REJECT --reject-with tcp-reset > >>>#06/05/2006 > >> > >>La dernière règle ne serait pas nécessaire si toutes les > >>connexions ind
Re: [firewall] iptables, le script parfait?
Gaëtan PERRIER a écrit : Ça commence mal. Un jeu de règles sans chaînes utilisateur ne peut pas être un bon jeu de règles. ;-) Bon, je me pencherai sur la question des chaînes utilisateurs. Pour l'instant je ne sais pas ce que c'est... Voir la documentation de Netfilter/iptables. Comme son nom l'indique, une chaîne utilisateur est une chaîne créée par l'utilisateur avec iptables -N. On peut on peut y créer des règles avec iptables -A et on peut l'appeler à partir d'une règle comme une cible avec l'option -j. C'est une sorte de sous-programme pour iptables. Une chaîne utilisateur peut être appelée depuis plusieurs endroits, y compris plusieurs chaînes de base. Elle permet notamment de "factoriser" des critères de correspondance communs à plusieurs règles (ex: regrouper toutes les règles relatives à un interface d'entrée ou un état) ou de faire les mêmes tests à plusieurs endroits sans dupliquer les règles (ex: même vérification d'adresse/port dans INPUT et FORWARD). Pour info, mon jeu de règles contient une cinquantaine de chaînes utilisateur. Où la variable $new_ip_address est-elle définie ? Que contient-elle ? ça vient du client dhcp. Ce script est appelé à chaque attribution d'une adresse ip sur mon interface réseaux allant vers internet. Justement, je voulais en parler dans ma réponse précédente. Il n'est pas nécessaire de réinitialiser toutes les règles. Il suffirait d'effacer et recréer uniquement les règles liées à l'adresse susceptible de changer. Et pour limiter le nombre de règles impliquées, les chaînes utilisateur sont d'une grande aide. C'est ce que je fais pour mes interfaces PPP. ### # Règles de conexion au reseau local # Tout est autorisé ### echo "+ Règles du réseau local ($LAN_INTERFACE - $LAN_IP - $LAN_NETWORK)" # Connexions firewall <-> réseau iptables -t filter -A OUTPUT -o $LAN_INTERFACE -s $LAN_IP -d $LAN_NETWORK -p all -j ACCEPT iptables -t filter -A INPUT -i $LAN_INTERFACE -s $LAN_NETWORK -d $LAN_IP -p all -j ACCEPT Ces règles oublient de prendre en compte les paquets émis (resp. reçus) sur $LAN_INTERFACE avec l'adresse source (resp. destination) $WAN_IP, qui sont pourtant parfaitement légitimes. Je n'ai pas bien compris comment ça peu arriver? Si tu veux établir une communication (par exemple un simple ping) vers l'adresse WAN de la passerelle depuis un poste du LAN. C'est parfaitement légal, et pourtant tes règles la bloqueraient, ainsi que la réponse. Un point souvent mal compris est qu'une adresse IP ne doit pas être considérée comme identifiant l'interface qui la porte mais la machine tout entière. Opérationnellement, il n'y a pas de lien entre les interfaces et les adresses locales et on peut utiliser n'importe quelle adresse locale avec n'importe quelle interface. Ce n'est que dans certains cas particulier qu'il peut être souhaitable d'interdire les communications avec une adresse donnée sur une interface particulière ; par exemple interdire l'adresse privée sur l'interface WAN parce qu'une adresse privée ne devrait jamais apparaître sur l'internet public. echo "+ Règles pour Internet ($WAN_INTERFACE - $WAN_IP - $WAN_NETWORK)" iptables -t filter -A OUTPUT -o $WAN_INTERFACE -s $WAN_IP -d $WAN_NETWORK -p all -m state --state ! INVALID -j ACCEPT iptables -t filter -A INPUT -i $WAN_INTERFACE -s $WAN_NETWORK -d $WAN_IP -p tcp --tcp-flags ! ALL SYN -m state --state NEW,RELATED -j DROP #06/05/2006 iptables -t filter -A INPUT -i $WAN_INTERFACE -s $WAN_NETWORK -d $WAN_IP -p all -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -t filter -A INPUT -i $WAN_INTERFACE -s $WAN_NETWORK -d $WAN_IP -p tcp --destination-port auth -j REJECT --reject-with tcp-reset #06/05/2006 La dernière règle ne serait pas nécessaire si toutes les connexions indésirables étaient traitées par REJECT au lieu de DROP. Peux-tu m'expliquer pourquoi? Initialement je n'avais pas les lignes finissant par #06/05/2006, sont-elles nécessaires? La première, qui bloque les paquets TCP dans l'état NEW ou RELATED autres que SYN n'est pas franchement indispensable puisque soit c'est le suivi de connexion TCP lui-même qui va classer le paquet INVALID soit c'est la pile TCP/IP qui va le rejeter. La seconde, qui répond "fermé" aux requêtes IDENT notamment des serveurs IRC ou SMTP pour éviter un délai d'attente ou carrément de se faire jeter par le serveur à cause de l'absence de réponse n'est utile que parce que ton traitement par défaut des requêtes entrantes est DROP. Si le traitement pour toutes les requêtes indésirables était REJECT, tu n'aurais pas besoin d'une exception pour les requêtes IDENT. echo "+ Autorise l'IP masquerading de $LAN_NETWORK -> $WAN_NETWORK" iptables -t filter -A FORWARD -i $LAN_INTERFACE -o $WAN_INTERFACE -s $LAN_NETWORK -d $WAN_NETWORK -p all -m state --state ! IN
Re: [firewall] iptables, le script parfait?
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Gaëtan PERRIER wrote: > Tout d'abord merci pour l'analyse! > Je vois que j'ai encore à apprendre (mais bon je m'y attendais!) > Réponses insérées: > >> Ça commence mal. Un jeu de règles sans chaînes utilisateur ne peut >> pas être un bon jeu de règles. ;-) > > Bon, je me pencherai sur la question des chaînes utilisateurs. Pour l'instant > je ne sais pas ce que c'est... > # Creer les chaines utilisateurs lan_inputs et wan_inputs iptables -N lan_inputs iptables -N wan_inputs # Rediriger le flux d'entree dans les chaines utilisateurs en fonction de leur provenance et dropper le reste. iptables -A INPUT -i $lan_iface -j lan_inputs iptables -A INPUT -i $wan_iface -j wan_inputs iptables -A INPUT DROP # Effectuer le traitement du flux en provenance de lan iptables -A lan_inputs ... # Effectuer le traitement du flux en provenence de wan iptables -A wan_inputs ... C'est un exemple d'utilisation, pour montrer le principe. Il n'a rien de fonctionnel. >>> # Paramètrage de la connexion Internet (WAN = Wild Area Network = >>> # Réseau Large) >>> WAN_INTERFACE=adsl; # Interface réseau externe >>> (Internet) if [ -z "$@" ]; then >>> WAN_IP=`/sbin/ifconfig $WAN_INTERFACE | grep "inet adr" | >>> sed "s/^[: a-z]*\([.0-9]*\).*/\1/g"` ; # Récupère l'adresse >>> réseau externe (Internet) elif [ "$@" == "boot" ]; then WAN_IP= >>> $new_ip_address fi >> Où la variable $new_ip_address est-elle définie ? Que >> contient-elle ? > > ça vient du client dhcp. Ce script est appelé à chaque attribution d'une > adresse ip sur mon interface réseaux allant vers internet. > Tu la considere comme variable d'environnement, alors ? Si c'est le cas moi je la mettrais en majuscule. >> [...] >>> ### >>> # Règles de conexion au reseau local >> "connexion". >> >>> # Tout est autorisé >>> ### >>> >>> echo "+ Règles du réseau local ($LAN_INTERFACE - $LAN_IP - >>> $LAN_NETWORK)" >>> # Connexions firewall <-> réseau >>> iptables -t filter -A OUTPUT -o $LAN_INTERFACE -s $LAN_IP -d >>> $LAN_NETWORK -p all -j ACCEPT iptables -t filter -A INPUT -i >>> $LAN_INTERFACE -s $LAN_NETWORK -d $LAN_IP -p all -j ACCEPT >> Ces règles oublient de prendre en compte les paquets émis (resp. >> reçus) sur $LAN_INTERFACE avec l'adresse source (resp. destination) >> $WAN_IP, qui sont pourtant parfaitement légitimes. Ne pas oublier >> qu'une adresse IP appartient à une machine au moins autant qu'à une >> interface. > > Je n'ai pas bien compris comment ça peu arriver? Je ne suis pas certain de ce que j'avance mais, a mon avis, c'est la table de routage qui se charge de verifier la concordance entre ip et interface comme tu l'entends, et comme je l'entendais avant :p! >>> echo "+ Règles pour Internet ($WAN_INTERFACE - $WAN_IP - >>> $WAN_NETWORK)" iptables -t filter -A OUTPUT -o $WAN_INTERFACE -s >>> $WAN_IP -d $WAN_NETWORK -p all -m state --state ! >>> INVALID -j ACCEPT iptables -t filter -A INPUT -i >>> $WAN_INTERFACE -s $WAN_NETWORK -d $WAN_IP -p tcp --tcp-flags ! >>> ALL SYN -m state --state NEW,RELATED -j DROP #06/05/2006 iptables >>> -t filter -A INPUT -i $WAN_INTERFACE -s $WAN_NETWORK -d $WAN_IP >>> -p all -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -t >>> filter -A INPUT -i $WAN_INTERFACE -s $WAN_NETWORK -d $WAN_IP -p >>> tcp --destination-port auth -j REJECT --reject-with tcp-reset >>> #06/05/2006 >> La dernière règle ne serait pas nécessaire si toutes les connexions >> indésirables étaient traitées par REJECT au lieu de DROP. > > Peux-tu m'expliquer pourquoi? > Initialement je n'avais pas les lignes finissant par #06/05/2006, sont-elles > nécessaires? > J'ai jamais procede de cette facon donc je ne sais pas trop. >>> echo 1 > /proc/sys/net/ipv4/ip_forward >>> >>> else >>> echo "+ Le port forwarding N'est PAS autorisé" >>> if [ "$NAT" == "0" ]; then >>> echo 0 > /proc/sys/net/ipv4/ip_forward >>> fi >>> fi >> Le test de la valeur de $NAT ne sert à rien puisque de toute façon >> ip_forward est déjà à 0. Voir mon commentaire sur l'IP masquerading. > > Oui ce n'est pas faux! Mais bon le port forwarding n'est pas utilisé, donc > pas grave. :-) Le mieux serait donc de les supprimer, a moins que tu utilises le script sur une autre machine en ayant l'utilite. >>> echo "+ Autorise l'IP masquerading de $LAN_NETWORK -> >>> $WAN_NETWORK" iptables -t filter -A FORWARD -i $LAN_INTERFACE -o >>> $WAN_INTERFACE -s $LAN_NETWORK -d $WAN_NETWORK -p all -m state >>> --state ! INVALID -j ACCEPT >> Si on veut être puriste, "! INVALID" n'est pas approprié ici. En >> effet cela équivaut à NEW,RELATED,ESTABLISHED,UNTRACKED. Or les >> paquets dans l'état UNTRACKED, comme ceux dans l'état INVALID, sont >> ignorés par les chaînes de la table 'nat'. Par conséquent un tel >> paquet serait retransmis sur l'inter
Re: [firewall] iptables, le script parfait?
Tout d'abord merci pour l'analyse! Je vois que j'ai encore à apprendre (mais bon je m'y attendais!) Réponses insérées: Le Fri, 02 Feb 2007 16:03:20 +0100 Pascal Hambourg <[EMAIL PROTECTED]> a écrit: > Salut, > > Gaëtan PERRIER a écrit : > > > > J'utilise le script en pièce jointe. Si vous pouviez donner votre > > avis dessus, ça m'intéresse... > > $ grep -c -- -N iptables-final-1-adsl.sh > 0 > > Ça commence mal. Un jeu de règles sans chaînes utilisateur ne peut > pas être un bon jeu de règles. ;-) Bon, je me pencherai sur la question des chaînes utilisateurs. Pour l'instant je ne sais pas ce que c'est... > > > # Paramètrage du réseau local (LAN = Local Area Network) > > LAN_INTERFACE=lan ; # Interface réseau interne > > LAN_IP=192.168.10.1 ; # Adresse réseau interne > > LAN_NETWORK=192.168.10.0/24 ; # Réseau interne > > LAN_BROADCAST=192.168.10.255 ; # Adresse de broadcast interne > > > > # Paramètrage de la connexion Internet (WAN = Wild Area Network = > > # Réseau Large) > > WAN_INTERFACE=adsl; # Interface réseau externe > > (Internet) if [ -z "$@" ]; then > > WAN_IP=`/sbin/ifconfig $WAN_INTERFACE | grep "inet adr" | > > sed "s/^[: a-z]*\([.0-9]*\).*/\1/g"` ; # Récupère l'adresse > > réseau externe (Internet) elif [ "$@" == "boot" ]; then WAN_IP= > > $new_ip_address fi > > Où la variable $new_ip_address est-elle définie ? Que > contient-elle ? ça vient du client dhcp. Ce script est appelé à chaque attribution d'une adresse ip sur mon interface réseaux allant vers internet. > > [...] > > ### > > # Règles de conexion au reseau local > > "connexion". > > > # Tout est autorisé > > ### > > > > echo "+ Règles du réseau local ($LAN_INTERFACE - $LAN_IP - > > $LAN_NETWORK)" > > # Connexions firewall <-> réseau > > iptables -t filter -A OUTPUT -o $LAN_INTERFACE -s $LAN_IP -d > > $LAN_NETWORK -p all -j ACCEPT iptables -t filter -A INPUT -i > > $LAN_INTERFACE -s $LAN_NETWORK -d $LAN_IP -p all -j ACCEPT > > Ces règles oublient de prendre en compte les paquets émis (resp. > reçus) sur $LAN_INTERFACE avec l'adresse source (resp. destination) > $WAN_IP, qui sont pourtant parfaitement légitimes. Ne pas oublier > qu'une adresse IP appartient à une machine au moins autant qu'à une > interface. Je n'ai pas bien compris comment ça peu arriver? > > > # Connexions firewall <-> broadcast réseau > > iptables -t filter -A OUTPUT -o $LAN_INTERFACE -s $LAN_IP -d > > $LAN_BROADCAST -p all -j ACCEPT > > Cette règle est redondante puisque l'adresse de broadcast dirigé > $LAN_BROADCAST est incluse dans le sous-réseau $LAN_NETWORK. Par > contre l'adresse de broadcast limité 255.255.255.255 n'est pas > prise en compte. > > > iptables -t filter -A INPUT -i $LAN_INTERFACE -s $LAN_BROADCAST > > -d $LAN_IP -p all -j ACCEPT > > Surtout pas ! L'adresse source ne peut être une adresse de > broadcast. Les réponses à un broadcast IP se font avec une adresse > source d'hôte (unicast). > > > ### > > # Règles de connexion à Internet > > # Seul les connexions initialisés par la machine sont autorisées > > # C'est le suivit de connexion > > ### > > "suivi", sans "t". > > > # Chargement des modules pour le suivit de connexion > > modprobe ip_conntrack > > modprobe ip_conntrack_ftp > > modprobe ip_conntrack_irc > > > > echo "+ Règles pour Internet ($WAN_INTERFACE - $WAN_IP - > > $WAN_NETWORK)" iptables -t filter -A OUTPUT -o $WAN_INTERFACE -s > > $WAN_IP -d $WAN_NETWORK -p all -m state --state ! > > INVALID -j ACCEPT iptables -t filter -A INPUT -i > > $WAN_INTERFACE -s $WAN_NETWORK -d $WAN_IP -p tcp --tcp-flags ! > > ALL SYN -m state --state NEW,RELATED -j DROP #06/05/2006 iptables > > -t filter -A INPUT -i $WAN_INTERFACE -s $WAN_NETWORK -d $WAN_IP > > -p all -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -t > > filter -A INPUT -i $WAN_INTERFACE -s $WAN_NETWORK -d $WAN_IP -p > > tcp --destination-port auth -j REJECT --reject-with tcp-reset > > #06/05/2006 > > La dernière règle ne serait pas nécessaire si toutes les connexions > indésirables étaient traitées par REJECT au lieu de DROP. Peux-tu m'expliquer pourquoi? Initialement je n'avais pas les lignes finissant par #06/05/2006, sont-elles nécessaires? > > > ### > > # Règles pour le port forwarding > > # Pour que le port forwarding soit activé, il faut la variable > > # "$PF" soit à "1" > > ### > > > > if [ "$PF" == "1" ]; then > > # Chargement des modules pour le port forwarding > > modprobe iptable_nat > > > > echo "+ Autorise le port forwardong
Re: [firewall] iptables, le script parfait?
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Pascal Hambourg wrote: > Salut, > > Gaëtan PERRIER a écrit : >> >> J'utilise le script en pièce jointe. Si vous pouviez donner votre avis >> dessus, ça m'intéresse... > > $ grep -c -- -N iptables-final-1-adsl.sh > 0 > > Ça commence mal. Un jeu de règles sans chaînes utilisateur ne peut pas > être un bon jeu de règles. ;-) > J'adore la methode de test :p! Je suis d'accord. Depuis que j'ai commence avec les chaines utilisateurs, je trouve que c'est difficile de s'en passer. A mon avis ca reste incontournable pour obtenir un script facile a lire et flexible. > Il serait plus sûr de limiter l'adresse de destination à $PF_IP au lieu > de $LAN_NETWORK. > >> iptables -t nat-A PREROUTING-i $WAN_INTERFACE -s >> $WAN_NETWORK -d $WAN_IP -p $PF_PROTO --dport $PF_PORT -j DNAT >> --to-destination $PF_IP >> iptables -t nat-A POSTROUTING -o $LAN_INTERFACE -s >> $WAN_NETWORK -d $PF_IP -p $PF_PROTO --dport $PF_PORT -j SNAT >> --to-source $LAN_IP > > Quel est l'intérêt de cette règle SNAT dans nat/POSTROUTING ? Masquer > l'adresse source réelle de la connexion à la machine vers laquelle le > port est redirigé me paraît plutôt contre-productif. > La regle m'a bien interpelee aussi. Si j'ai bien compris ce que tu tentes de faire, j'aurais, pour ma part, tout simplement ouvert le port 80 sur l'interface WAN. >> echo 1 > /proc/sys/net/ipv4/ip_forward >> >> else >> echo "+ Le port forwarding N'est PAS autorisé" >> if [ "$NAT" == "0" ]; then >> echo 0 > /proc/sys/net/ipv4/ip_forward >> fi >> fi Un test logique en debut de fichier en fonction des differentes variables serait plus adapte a la gestion des quelques "/proc/sys/net/ipv4/ip_forward" presents dans le script. > Je voudrais faire une remarque générale au sujet des nombreuses règles > acceptant des paquets dans l'état RELATED ou ESTABLISHED. Si le suivi de > connexion a classé un paquet dans un de ces états, c'est que le trafic > précédent auquel il est lié a déjà été vu et accepté (à l'exception des > paquets RST ou ICMP émis localement en réponse à un paquet rejeté). Par > conséquent il n'est pas utile de recréer ces règles pour chaque > interface, application, protocole, port... On peut se contenter d'une > unique règle acceptant tous les paquets dans l'état RELATED ou > ESTABLISHED en début de chaîne (pour l'efficacité, l'immense majorité > des paquets étant dans l'état ESTABLISHED) suivie de règles traitant les > paquets dans l'état NEW au cas par cas. Ça allège et simplifie > sensiblement le jeu de règles sans sacrifier à la sécurité. Beaucoup de > jeux de règles sont construits ainsi. > Je n'ai aucune chance de trouver quoi que ce soit de plus que Pasal, bien qu'ayant parcouru le script en essayant de trouver les erreurs. Mais bon, dans l'idee general, je dirais que j'ai eu des difficultes a le lire du fait : - du manque des chaines utilisateurs, - de la presence importantes des differents etats de connexions, - de la gestion sans fin des addresses Autrement, pour epurer tu peux supprimer "-t filter", c'est la table par defaut. Idem pour "- all", c'est l'option par defaut. J'ai remarque que tu utilisais les variables pour stocker les ports presents dans tes regles. Je serais plutot amene a les mettre dans mon fichier /etc/services, mais ca n'engage que moi, et a les en extraire en debut de script. Cela a l'avantage de les voir sous forme de nom quand tu fais un iptables -L -v ou une commande netstat. C'est bien plus explicite avec des noms. Dernier chose, je n'ai pas vu de gestion explicite des types icmp, c'est peut etre un point a considerer. - -- Franck Joncourt http://www.debian.org http://smhteam.info/wiki/ GPG server : pgpkeys.mit.edu Fingerprint : C10E D1D0 EF70 0A2A CACF 9A3C C490 534E 75C0 89FE -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.6 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFFw5PuxJBTTnXAif4RAoEdAKCQSDJRufCCJf2YdNQ/5k3WQ1ulRgCfQuI3 kLQaBDzu5JGkoWx/GQv7dIA= =tzlU -END PGP SIGNATURE- ___ Inbox full of spam? Get leading spam protection and 1GB storage with All New Yahoo! Mail. http://uk.docs.yahoo.com/nowyoucan.html -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: [firewall] iptables, le script parfait?
Salut, Gaëtan PERRIER a écrit : J'utilise le script en pièce jointe. Si vous pouviez donner votre avis dessus, ça m'intéresse... $ grep -c -- -N iptables-final-1-adsl.sh 0 Ça commence mal. Un jeu de règles sans chaînes utilisateur ne peut pas être un bon jeu de règles. ;-) # Paramètrage du réseau local (LAN = Local Area Network) LAN_INTERFACE=lan ; # Interface réseau interne LAN_IP=192.168.10.1 ; # Adresse réseau interne LAN_NETWORK=192.168.10.0/24 ; # Réseau interne LAN_BROADCAST=192.168.10.255 ; # Adresse de broadcast interne # Paramètrage de la connexion Internet (WAN = Wild Area Network = Réseau Large) WAN_INTERFACE=adsl; # Interface réseau externe (Internet) if [ -z "$@" ]; then WAN_IP=`/sbin/ifconfig $WAN_INTERFACE | grep "inet adr" | sed "s/^[: a-z]*\([.0-9]*\).*/\1/g"` ; # Récupère l'adresse réseau externe (Internet) elif [ "$@" == "boot" ]; then WAN_IP=$new_ip_address fi Où la variable $new_ip_address est-elle définie ? Que contient-elle ? [...] ### # Règles de conexion au reseau local "connexion". # Tout est autorisé ### echo "+ Règles du réseau local ($LAN_INTERFACE - $LAN_IP - $LAN_NETWORK)" # Connexions firewall <-> réseau iptables -t filter -A OUTPUT -o $LAN_INTERFACE -s $LAN_IP -d $LAN_NETWORK -p all -j ACCEPT iptables -t filter -A INPUT -i $LAN_INTERFACE -s $LAN_NETWORK -d $LAN_IP -p all -j ACCEPT Ces règles oublient de prendre en compte les paquets émis (resp. reçus) sur $LAN_INTERFACE avec l'adresse source (resp. destination) $WAN_IP, qui sont pourtant parfaitement légitimes. Ne pas oublier qu'une adresse IP appartient à une machine au moins autant qu'à une interface. # Connexions firewall <-> broadcast réseau iptables -t filter -A OUTPUT -o $LAN_INTERFACE -s $LAN_IP -d $LAN_BROADCAST -p all -j ACCEPT Cette règle est redondante puisque l'adresse de broadcast dirigé $LAN_BROADCAST est incluse dans le sous-réseau $LAN_NETWORK. Par contre l'adresse de broadcast limité 255.255.255.255 n'est pas prise en compte. iptables -t filter -A INPUT -i $LAN_INTERFACE -s $LAN_BROADCAST -d $LAN_IP -p all -j ACCEPT Surtout pas ! L'adresse source ne peut être une adresse de broadcast. Les réponses à un broadcast IP se font avec une adresse source d'hôte (unicast). ### # Règles de connexion à Internet # Seul les connexions initialisés par la machine sont autorisées # C'est le suivit de connexion ### "suivi", sans "t". # Chargement des modules pour le suivit de connexion modprobe ip_conntrack modprobe ip_conntrack_ftp modprobe ip_conntrack_irc echo "+ Règles pour Internet ($WAN_INTERFACE - $WAN_IP - $WAN_NETWORK)" iptables -t filter -A OUTPUT -o $WAN_INTERFACE -s $WAN_IP -d $WAN_NETWORK -p all -m state --state ! INVALID -j ACCEPT iptables -t filter -A INPUT -i $WAN_INTERFACE -s $WAN_NETWORK -d $WAN_IP -p tcp --tcp-flags ! ALL SYN -m state --state NEW,RELATED -j DROP #06/05/2006 iptables -t filter -A INPUT -i $WAN_INTERFACE -s $WAN_NETWORK -d $WAN_IP -p all -m state --state RELATED,ESTABLISHED -j ACCEPT iptables -t filter -A INPUT -i $WAN_INTERFACE -s $WAN_NETWORK -d $WAN_IP -p tcp --destination-port auth -j REJECT --reject-with tcp-reset #06/05/2006 La dernière règle ne serait pas nécessaire si toutes les connexions indésirables étaient traitées par REJECT au lieu de DROP. ### # Règles pour le port forwarding # Pour que le port forwarding soit activé, il faut la variable "$PF" soit à "1" ### if [ "$PF" == "1" ]; then # Chargement des modules pour le port forwarding modprobe iptable_nat echo "+ Autorise le port forwardong de $WAN_IP:$PF_PORT -> $PF_IP:$PF_PORT" iptables -t filter -A FORWARD -i $WAN_INTERFACE -o $LAN_INTERFACE -s $WAN_NETWORK -d $LAN_NETWORK -p $PF_PROTO --dport $PF_PORT -m state --state ! INVALID -j ACCEPT iptables -t filter -A FORWARD -i $LAN_INTERFACE -o $WAN_INTERFACE -s $LAN_NETWORK -d $WAN_NETWORK -p $PF_PROTO --sport $PF_PORT -m state --state ESTABLISHED,RELATED -j ACCEPT Il serait plus sûr de limiter l'adresse de destination à $PF_IP au lieu de $LAN_NETWORK. iptables -t nat-A PREROUTING-i $WAN_INTERFACE -s $WAN_NETWORK -d $WAN_IP -p $PF_PROTO --dport $PF_PORT -j DNAT --to-destination $PF_IP iptables -t nat-A POSTROUTING -o $LAN_INTERFACE -s $WAN_NETWORK -d $PF_IP -p $PF_PROTO --dport $PF_PORT -j SNAT --to-source $LAN_IP Quel est l'intérêt de cette règle SNAT dans nat/POSTROUTING ? Masquer l'adresse source réelle de la
Re: [firewall] iptables, le script parfait?
Le Thu, 01 Feb 2007 22:49:19 +0100 franck <[EMAIL PROTECTED]> a écrit: > -BEGIN PGP SIGNED MESSAGE- > Hash: SHA1 > > Gaëtan PERRIER wrote: > > Le Thu, 01 Feb 2007 19:53:29 +0100 > > franck <[EMAIL PROTECTED]> a écrit: > > > >> -BEGIN PGP SIGNED MESSAGE- > >> Hash: SHA1 > >> > >> [EMAIL PROTECTED] wrote: > >>> Bonjours, > >>> > >>> voilà, j'aimerai savoir si une personne avait fait un script > >>> iptables pas mal? (parfait même) > >>> qui bloque ce qu'il faut bloqué (SYN FLOOD, SCAN NULL) > >>> un peut comme iplog (qui enregistre les types d'attaque connues) > >>> mais sans iplog... > >>> > >>> je vous remerci d'avance > >>> > >>> > >> Bonsoir, > >> > >> tu peux jeter un coup d'oeil sur : > >> > >> http://smhteam.info/upload_wiki/firewall.tar.gz > >> > >> tu y trouveras peut etre ton bonheur. Je l'ai mis au point avec > >> l'aide de la liste. Il ne correspondra pas forcement a tes > >> besoins, mais tu peux surement reprendre des idees. > > > > J'utilise le script en pièce jointe. Si vous pouviez donner votre > > avis dessus, ça m'intéresse... > > > > Merci. > > > > Gaëtan > > > > Je regarde cela de plus pres demain soir et je te donnes mon avis. Merci. Gaëtan -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: [firewall] iptables, le script parfait?
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Gaëtan PERRIER wrote: > Le Thu, 01 Feb 2007 19:53:29 +0100 > franck <[EMAIL PROTECTED]> a écrit: > >> -BEGIN PGP SIGNED MESSAGE- >> Hash: SHA1 >> >> [EMAIL PROTECTED] wrote: >>> Bonjours, >>> >>> voilà, j'aimerai savoir si une personne avait fait un script >>> iptables pas mal? (parfait même) >>> qui bloque ce qu'il faut bloqué (SYN FLOOD, SCAN NULL) >>> un peut comme iplog (qui enregistre les types d'attaque connues) >>> mais sans iplog... >>> >>> je vous remerci d'avance >>> >>> >> Bonsoir, >> >> tu peux jeter un coup d'oeil sur : >> >> http://smhteam.info/upload_wiki/firewall.tar.gz >> >> tu y trouveras peut etre ton bonheur. Je l'ai mis au point avec >> l'aide de la liste. Il ne correspondra pas forcement a tes besoins, >> mais tu peux surement reprendre des idees. > > J'utilise le script en pièce jointe. Si vous pouviez donner votre avis > dessus, ça m'intéresse... > > Merci. > > Gaëtan > Je regarde cela de plus pres demain soir et je te donnes mon avis. - -- Franck Joncourt http://www.debian.org http://smhteam.info/wiki/ GPG server : pgpkeys.mit.edu Fingerprint : C10E D1D0 EF70 0A2A CACF 9A3C C490 534E 75C0 89FE -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.6 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFFwmBfxJBTTnXAif4RAr9MAJ9DbG2csftWXg4tSh9J1WwhubUsTQCdEvtZ E5HF8aaA4nxAwfeWgbL/kL0= =PFJS -END PGP SIGNATURE- ___ All new Yahoo! Mail "The new Interface is stunning in its simplicity and ease of use." - PC Magazine http://uk.docs.yahoo.com/nowyoucan.html -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: [firewall] iptables, le script parfait?
Le Thu, 01 Feb 2007 19:53:29 +0100 franck <[EMAIL PROTECTED]> a écrit: > -BEGIN PGP SIGNED MESSAGE- > Hash: SHA1 > > [EMAIL PROTECTED] wrote: > > Bonjours, > > > > voilà, j'aimerai savoir si une personne avait fait un script > > iptables pas mal? (parfait même) > > qui bloque ce qu'il faut bloqué (SYN FLOOD, SCAN NULL) > > un peut comme iplog (qui enregistre les types d'attaque connues) > > mais sans iplog... > > > > je vous remerci d'avance > > > > > > Bonsoir, > > tu peux jeter un coup d'oeil sur : > > http://smhteam.info/upload_wiki/firewall.tar.gz > > tu y trouveras peut etre ton bonheur. Je l'ai mis au point avec > l'aide de la liste. Il ne correspondra pas forcement a tes besoins, > mais tu peux surement reprendre des idees. J'utilise le script en pièce jointe. Si vous pouviez donner votre avis dessus, ça m'intéresse... Merci. Gaëtan #!/bin/sh -norc ### # NOM: iptable-final-1.sh # # COMMENTAIRE : Synthèse d'utilisation de ce qui a été vu dans le document # (chapitre III-10-3) # # Ce script fait partie du document : #"Firewall et sécurité d'un réseau personnel sous Linux" #http://olivieraj.free.fr/fr/linux/information/firewall/ # # Auteur: Olivier ALLARD-JACQUIN (http://olivieraj.free.fr/) # Créé le : 2003/07/09Dernière modification le : 2003/07/09 ### # Adapté par Gaëtan PERRIER le 04/02/2004 ### ### # Variables globales ### # Paramètrage du réseau local (LAN = Local Area Network) LAN_INTERFACE=lan ; # Interface réseau interne LAN_IP=192.168.10.1 ; # Adresse réseau interne LAN_NETWORK=192.168.10.0/24 ; # Réseau interne LAN_BROADCAST=192.168.10.255 ; # Adresse de broadcast interne # Paramètrage de la connexion Internet (WAN = Wild Area Network = Réseau Large) WAN_INTERFACE=adsl; # Interface réseau externe (Internet) if [ -z "$@" ]; then WAN_IP=`/sbin/ifconfig $WAN_INTERFACE | grep "inet adr" | sed "s/^[: a-z]*\([.0-9]*\).*/\1/g"` ; # Récupère l'adresse réseau externe (Internet) elif [ "$@" == "boot" ]; then WAN_IP=$new_ip_address fi WAN_NETWORK=0.0.0.0/0 #WAN_IP=10.0.0.1 ; # Adresse réseau externe (Internet) #WAN_NETWORK=10.0.0.0/8; # Réseau externe (Internet) # REMARQUE: # Si vous utiliser une connexion par modem (RTC/RNIS/ADSL) pour vous connecter à Internet # utilisez les variables ci-dessous. Elle permettrons à ce script de détecter # automatiquement votre adresse IP Internet #WAN_INTERFACE=ppp0; # Interface modem #WAN_IP=`/sbin/ifconfig | grep "P-t-P" | sed "s/^[: a-z]*\([.0-9]*\).*/\1/g"` ; # Récupère l'adresse réseau externe (Internet) #WAN_NETWORK=0.0.0.0/0 # Paramètrage de l'IP masquerading # NAT=0 <=> Le NAT N'est PAS autorisé # NAT=1 <=> Le NAT est autorisé NAT=1 # Paramètrage du port forwarding # PF=0 <=> Le port forwarding N'est PAS autorisé # PF=1 <=> Le port forwarding est autorisé PF=0 PF_PROTO=tcp ; # Type de frame PF_PORT=80 ; # Port ouvert sur le WAN PF_IP=192.168.0.2; # Adresse IP du serveur sur le LAN # Autoriser XMULE? # XMULE=0 <=> XMULE N'est PAS autorisé # XMULE=1 <=> XMULE est autorisé XMULE=0 XMULE_TCP_PORT=4662 XMULE_UDP_PORT=4672 # Autoriser Jabber? # JABBER=0 <=> JABBER N'est PAS autorisé # JABBER=1 <=> JABBER est autorisé JABBER=1 JABBER_TCP_PORT=5222 JABBER_SSL_TCP_PORT=5223 # Autoriser Msn? # MSN=0 <=> MSN N'est PAS autorisé # MSN=1 <=> MSN est autorisé MSN=1 MSN_TCP_PORT=1863 MSN_UDP_PORT=1863 MSN_TRANSFERT_TCP_PORT=6891:6900 MSN_TRANSFERT_UDP_PORT=6891:6900 MSN_VOIX_TCP_PORT=6901 MSN_VOIX_UDP_PORT=6901 # Autoriser MP9? # MP9=0 <=> MP9 N'est PAS autorisé # MP9=1 <=> MP9 est autorisé MP9=1 MP9_TCP_CMD_PORT=26180 MP9_TCP_SMB_PORTS=137:139,445 MP9_TCP_FLUX_PORT=26134 MP9_IP=172.16.255.253 # Paramétrage du LOG # LOG=LOG_IN <=> On log toutes les tentatives d'intrusions non autorisées # LOG=LOG_OUT <=> On log toutes les tentatives de sortie non autorisées # LOG=LOG_IN-OUT <=> On log toutes les tentatives d'entrées et sorties non autorisées # LOG=ULOG_IN <=> On log (avec ULOG) toutes les tentatives d'intrusions non autorisée # LOG=ULOG_OUT<=> On log (avec ULOG) toutes les tentatives de sorties non autorisées # LOG=ULOG_IN-OUT <=> On log (avec ULOG) toutes les tentatives d'entrées et sorties non autorisées # LOG=NONE<=> On ne log RIEN du tout LOG=ULOG_IN-OUT LOG_PREFIX=Netfilter ### ##
Re: [firewall] iptables, le script parfait? [résolu ]
franck a écrit : -BEGIN PGP SIGNED MESSAGE- Hash: SHA1 [EMAIL PROTECTED] wrote: Bonjours, voilà, j'aimerai savoir si une personne avait fait un script iptables pas mal? (parfait même) qui bloque ce qu'il faut bloqué (SYN FLOOD, SCAN NULL) un peut comme iplog (qui enregistre les types d'attaque connues) mais sans iplog... je vous remerci d'avance Bonsoir, tu peux jeter un coup d'oeil sur : http://smhteam.info/upload_wiki/firewall.tar.gz tu y trouveras peut etre ton bonheur. Je l'ai mis au point avec l'aide de la liste. Il ne correspondra pas forcement a tes besoins, mais tu peux surement reprendre des idees. merci :) ça répond parfaitement à mes besoins d'idées ;) - -- Franck Joncourt http://www.debian.org http://smhteam.info/wiki/ GPG server : pgpkeys.mit.edu Fingerprint : C10E D1D0 EF70 0A2A CACF 9A3C C490 534E 75C0 89FE -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.6 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFFwjcpxJBTTnXAif4RAkHKAJ9Q5nJE7WNBCy7tVso7XGVW8o+ftgCfYLTA 8JgV6Bb2dUzbkyIlSnRIgXw= =JoEx -END PGP SIGNATURE- ___ The all-new Yahoo! Mail goes wherever you go - free your email address from your Internet provider. http://uk.docs.yahoo.com/nowyoucan.html -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: [firewall] iptables, le script parfait?
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 [EMAIL PROTECTED] wrote: > Bonjours, > > voilà, j'aimerai savoir si une personne avait fait un script iptables > pas mal? (parfait même) > qui bloque ce qu'il faut bloqué (SYN FLOOD, SCAN NULL) > un peut comme iplog (qui enregistre les types d'attaque connues) mais > sans iplog... > > je vous remerci d'avance > > Bonsoir, tu peux jeter un coup d'oeil sur : http://smhteam.info/upload_wiki/firewall.tar.gz tu y trouveras peut etre ton bonheur. Je l'ai mis au point avec l'aide de la liste. Il ne correspondra pas forcement a tes besoins, mais tu peux surement reprendre des idees. - -- Franck Joncourt http://www.debian.org http://smhteam.info/wiki/ GPG server : pgpkeys.mit.edu Fingerprint : C10E D1D0 EF70 0A2A CACF 9A3C C490 534E 75C0 89FE -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.6 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFFwjcpxJBTTnXAif4RAkHKAJ9Q5nJE7WNBCy7tVso7XGVW8o+ftgCfYLTA 8JgV6Bb2dUzbkyIlSnRIgXw= =JoEx -END PGP SIGNATURE- ___ The all-new Yahoo! Mail goes wherever you go - free your email address from your Internet provider. http://uk.docs.yahoo.com/nowyoucan.html -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Firewall
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Bonjour, ROUIN Bernard a écrit : [...] Est-ce suffisant comme protection ? Tout dépend de tes besoins : si c'est pour surfer sur le net et être un minimum protégé, je pense que c'est suffisant. Si tu héberge un site web marchant, il faut d'abord regarder le fonctionnement de cette box que je ne connais pas ... > Et comment ça marche ? Il doit y avoir une notice avec ta box ... > Il faut le paramétrer ? Encore une fois cela dépend de tes besoins, mais je pense que pour surfer tout simplement, si tu n'a pas d'autres exigeance cela devrait bien se passer ainsi ... > Merci de vos réponses. de rien ;-) Cordialement, Yannick - -- In God we Trust -- all others must submit an X.509 certificate. (Charles Forsythe) -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.2 (GNU/Linux) iD8DBQFEBsA0UMc480PbAiwRAgDRAKCVOhf8isn33JYlhXC0xfllorPHXgCgjP8x Zuj/ZBWnrZkH1NaWf+H091U= =QtLT -END PGP SIGNATURE- -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: firewall et ntp
Salut, Bayrouni a écrit : Bien, voilà ce que j'ai fait: [...] La passerelle en tant que serveur du réseau local 192.0.0.0/24 ### la passerelle doit pouvoir accepter les requetes de ces clients locaux: INPUT --match state --state NEW --protocol udp --source 192.168.0.0/24 --sport 123 --jump ACCEPT ^ Plutôt --dport, non ? Quid des paquets entrants suivants qui ne sont plus dans l'état NEW mais ESTABLISHED ? la passerelle doit pouvoir repondre à ses clients locaux: cette règle existe indépendemment de ntp, OUTPUT 1 --match state --state RELATED,ESTABLISHED --jump ACCEPT Quelqu'un voit encore quelque chose de trop permissible? Tu peux spécifier les interfaces d'entrée (-i) des règles INPUT et de sortie (-o) des règles OUTPUT. Eventuellement restreindre les adresses IP des serveurs NTP joignables (mais c'est du vice). -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: [RESOLU] Re: firewall et ntp
Marc PERRUDIN wrote: Les regles tcp ne sont pas utilent, tu devrais les supprimés. Si ta passerelle a une adresse ip public, tu devrais limiter les possibilités d'acces a ton port 123 aux seules clients de ton réseau : avec la 2eme et la 4eme lignes, un client qui utilise le port 123 en source (comportement par defaut de ntpdate) peut interroger ton serveur depuis n'importe où. Utilise pour cela le module de suivi de connexion (-m state) pour pouvoir differencier les regles client (ta passerelle interroge un serveur sur internet) des regles serveur (tes clients interrogent ta passerelle). PC B (client de A): ## iptables --append INPUT --match tcp --protocol tcp --source 192.168.0.1 --sport 123 --jump ACCEPT iptables --append INPUT --match udp --protocol udp --source 192.168.0.1 --sport 123 --jump ACCEPT iptables --append OUTPUT --match tcp --protocol tcp --destination 192.168.0.1 --dport 123 --jump ACCEPT iptables --append OUTPUT --match udp --protocol udp --destination 192.168.0.1 --dport 123 --jump ACCEPT ###" Idem que pour PC A pour ce qui est de TCP. L'utilisation du suivi de connexion n'est pas aussi utile dans ce cas, car le fait que le serveur puisse interroger ses clients ne devraient pas poser de probleme dans la mesure ou tu controles les 2. A+ Bonjour, Bien, voilà ce que j'ai fait: Passerelle en tant que client de serveur horaire externe (internet) # la passerelle doit pouvoir contacter un serveur ntp donc: OUTPUT --match udp --protocol udp --destination 0/0 --dport 123 --jump ACCEPT la passerelle doit laisser entrer les réponses aux requetes faites aux serveurs ntp: cette règle existe indépendemment de ntp INPUT --match state --state ESTABLISHED,RELATED --jump ACCEPT La passerelle en tant que serveur du réseau local 192.0.0.0/24 ### la passerelle doit pouvoir accepter les requetes de ces clients locaux: INPUT --match state --state NEW --protocol udp --source 192.168.0.0/24 --sport 123 --jump ACCEPT la passerelle doit pouvoir repondre à ses clients locaux: cette règle existe indépendemment de ntp, OUTPUT 1 --match state --state RELATED,ESTABLISHED --jump ACCEPT Quelqu'un voit encore quelque chose de trop permissible? Merci à tous Bayrouni -- Pensez � lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez � rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: [RESOLU] Re: firewall et ntp
Bayrouni a écrit : > Jean-Michel OLTRA wrote: > >> bonjour, >> >> >> Le dimanche 18 décembre 2005, Bayrouni a écrit... >> >> >> >>> #iptables -I INPUT 1 -m udp -p udp -s 0/0 --sport 123 -d 0/0 --dport >>> 123 -j ACCEPT >>> fin de citation >> >> >> >> C'est un peu bizarre comme règle : on part du principe qu'un paquet est >> accepté si il provient du port 123 (--sport 123) et qu'il est destiné au >> port 123 (--dport 123). C'est l'un ou l'autre, suivant si la machine >> possède un serveur de temps ou contacte un serveur de temps. >> > > Oui, je n'osais pas le dire (règle bizarre). Pas si bizarre que ca. Le protocole ntp utilise le port udp 123 aussi bien en source comme en destination, un 'tcpdump port 123' sur ta passerelle te le montrera. Restreindre le port source comme le port destination est plus sure mais n'est pas forcement une bonne idée car certains outils comme ntptrace n'utilisent pas le port 123 en source pour pouvoir etre utilisés par des utilisateurs non root. Windows aussi n'utilise pas le port 123 en source car il utilise sntp, une version allégée de ntp. Par contre, il manque bien la regle pour pouvoir sortir (OUTPUT). > >> >> >> Si la machine doit contacter un serveur de temps elle doit pouvoir faire >> sortir des paquets à destination du port 123 (OUTPUT), mais également >> permettre à ces paquets de « revenir », donc en provenance du port 123, >> mais cette fois ce en INPUT. >> > > En effet, j'ai suivi cette logique et le resultat est probant: > PC A (gateway): > ## > iptables --append INPUT --match tcp --protocol tcp --source > 0/0 --sport 123 --jump ACCEPT > > iptables --append INPUT --match udp --protocol udp --source 0/0 > --sport 123 --jump ACCEPT > > iptables --append OUTPUT --match tcp --protocol tcp --destination 0/0 > --dport 123 --jump ACCEPT > > iptables --append OUTPUT --match udp --protocol udp --destination 0/0 > --dport 123 --jump ACCEPT Les regles tcp ne sont pas utilent, tu devrais les supprimés. Si ta passerelle a une adresse ip public, tu devrais limiter les possibilités d'acces a ton port 123 aux seules clients de ton réseau : avec la 2eme et la 4eme lignes, un client qui utilise le port 123 en source (comportement par defaut de ntpdate) peut interroger ton serveur depuis n'importe où. Utilise pour cela le module de suivi de connexion (-m state) pour pouvoir differencier les regles client (ta passerelle interroge un serveur sur internet) des regles serveur (tes clients interrogent ta passerelle). > > > PC B (client de A): > ## > iptables --append INPUT --match tcp --protocol tcp --source > 192.168.0.1 --sport 123 --jump ACCEPT > > iptables --append INPUT --match udp --protocol udp --source > 192.168.0.1 --sport 123 --jump ACCEPT > > iptables --append OUTPUT --match tcp --protocol tcp --destination > 192.168.0.1 --dport 123 --jump ACCEPT > > iptables --append OUTPUT --match udp --protocol udp --destination > 192.168.0.1 --dport 123 --jump ACCEPT > ###" Idem que pour PC A pour ce qui est de TCP. L'utilisation du suivi de connexion n'est pas aussi utile dans ce cas, car le fait que le serveur puisse interroger ses clients ne devraient pas poser de probleme dans la mesure ou tu controles les 2. A+ > > les differents utilitaires ntp prouvent que A se synchronise sur le > serveur ntp internet > et que B se synchronise sur le serveur A local > > Merci Jean Michel Oltra > Bayrouni > > -- Pensez � lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez � rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: [RESOLU] Re: firewall et ntp
Effectivement, la première règle autorise le rebond --> pas très cool.2005/12/18, Bayrouni <[EMAIL PROTECTED]>: Jean-Michel OLTRA wrote:> bonjour,>>> Le dimanche 18 décembre 2005, Bayrouni a écrit...>#iptables -I INPUT 1 -m udp -p udp -s 0/0 --sport>>123 -d 0/0 --dport 123 -j ACCEPT >>fin de citation>>> C'est un peu bizarre comme règle : on part du principe qu'un paquet est> accepté si il provient du port 123 (--sport 123) et qu'il est destiné au> port 123 (--dport 123). C'est l'un ou l'autre, suivant si la machine > possède un serveur de temps ou contacte un serveur de temps.>Oui, je n'osais pas le dire (règle bizarre).>>> Si la machine doit contacter un serveur de temps elle doit pouvoir faire > sortir des paquets à destination du port 123 (OUTPUT), mais également> permettre à ces paquets de « revenir », donc en provenance du port 123,> mais cette fois ce en INPUT.>En effet, j'ai suivi cette logique et le resultat est probant:PC A (gateway):##iptables --append INPUT --match tcp --protocol tcp --source 0/0 --sport 123 --jump ACCEPTiptables --append INPUT --match udp --protocol udp --source 0/0 --sport 123 --jump ACCEPTiptables --append OUTPUT --match tcp --protocoltcp --destination 0/0 --dport 123 --jump ACCEPTiptables --append OUTPUT --match udp --protocoludp --destination 0/0 --dport 123 --jump ACCEPT PC B (client de A):##iptables --append INPUT --match tcp --protocol tcp--source 192.168.0.1 --sport 123 --jump ACCEPTiptables --append INPUT --match udp --protocol udp --source 192.168.0.1 --sport 123 --jump ACCEPTiptables --append OUTPUT --match tcp --protocoltcp --destination 192.168.0.1 --dport 123 --jump ACCEPTiptables --append OUTPUT --match udp --protocoludp --destination 192.168.0.1 --dport 123 --jumpACCEPT###" les differents utilitaires ntp prouvent que A sesynchronise sur le serveur ntp internetet que B se synchronise sur le serveur A localMerci Jean Michel OltraBayrouni--Pensez � lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrenchPensez � rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"To UNSUBSCRIBE, email to [EMAIL PROTECTED]with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
[RESOLU] Re: firewall et ntp
Jean-Michel OLTRA wrote: bonjour, Le dimanche 18 décembre 2005, Bayrouni a écrit... #iptables -I INPUT 1 -m udp -p udp -s 0/0 --sport 123 -d 0/0 --dport 123 -j ACCEPT fin de citation C'est un peu bizarre comme règle : on part du principe qu'un paquet est accepté si il provient du port 123 (--sport 123) et qu'il est destiné au port 123 (--dport 123). C'est l'un ou l'autre, suivant si la machine possède un serveur de temps ou contacte un serveur de temps. Oui, je n'osais pas le dire (règle bizarre). Si la machine doit contacter un serveur de temps elle doit pouvoir faire sortir des paquets à destination du port 123 (OUTPUT), mais également permettre à ces paquets de « revenir », donc en provenance du port 123, mais cette fois ce en INPUT. En effet, j'ai suivi cette logique et le resultat est probant: PC A (gateway): ## iptables --append INPUT --match tcp --protocol tcp --source 0/0 --sport 123 --jump ACCEPT iptables --append INPUT --match udp --protocol udp --source 0/0 --sport 123 --jump ACCEPT iptables --append OUTPUT --match tcp --protocol tcp --destination 0/0 --dport 123 --jump ACCEPT iptables --append OUTPUT --match udp --protocol udp --destination 0/0 --dport 123 --jump ACCEPT PC B (client de A): ## iptables --append INPUT --match tcp --protocol tcp --source 192.168.0.1 --sport 123 --jump ACCEPT iptables --append INPUT --match udp --protocol udp --source 192.168.0.1 --sport 123 --jump ACCEPT iptables --append OUTPUT --match tcp --protocol tcp --destination 192.168.0.1 --dport 123 --jump ACCEPT iptables --append OUTPUT --match udp --protocol udp --destination 192.168.0.1 --dport 123 --jump ACCEPT ###" les differents utilitaires ntp prouvent que A se synchronise sur le serveur ntp internet et que B se synchronise sur le serveur A local Merci Jean Michel Oltra Bayrouni -- Pensez � lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez � rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: firewall et ntp
bonjour, Le dimanche 18 décembre 2005, Bayrouni a écrit... > #iptables -I INPUT 1 -m udp -p udp -s 0/0 --sport > 123 -d 0/0 --dport 123 -j ACCEPT > fin de citation C'est un peu bizarre comme règle : on part du principe qu'un paquet est accepté si il provient du port 123 (--sport 123) et qu'il est destiné au port 123 (--dport 123). C'est l'un ou l'autre, suivant si la machine possède un serveur de temps ou contacte un serveur de temps. > Si les paquets circules en utilisant le port 123 > par defaut, je dois ouvrir ce port en entrée > (INPUT), mais si ma machine doit contacter un > serveur ntp mon firewall doit ouvrir le port 123 > (OUTPUT) Si la machine doit contacter un serveur de temps elle doit pouvoir faire sortir des paquets à destination du port 123 (OUTPUT), mais également permettre à ces paquets de « revenir », donc en provenance du port 123, mais cette fois ce en INPUT. -- jm, pas pédagogue pour deux ronds. -- Pensez � lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez � rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: [Firewall] Sous interface GUI: Travail sujet d 'étude
On Wed, 9 Nov 2005 21:27:10 +0100 laurux <[EMAIL PROTECTED]> wrote: > Dans le projet Kde, on trouve Kmyfirewall (existe dans Debian > Unstable). Et aussi : http://iptables-tutorial.frozentux.net/chunkyhtml/c6042.html -- M.B -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: [Firewall] Sous interface GUI: Travail sujet d'étude
Le Sat, 29 Oct 2005 22:33:50 +0200, Michaël Cornelis a voulu dire : > Bonjour a tous, > Je me présente je m'apelle Michaël Cornelis, je suis étudiant en > informatique. Et nouveau sur cette liste. > J'aimerai avoir votre avis, je cherche un prog sous interfaces Graphique > Gnome ou KDE faisant utilisant les commandes IPTABLES. > Je cherche donc un programme ou j'ai accès en détails aux paramètres. > > Merci @ tous > Bonsoir, Dans le projet Kde, on trouve Kmyfirewall (existe dans Debian Unstable). A+ --
Re: [Firewall all in one bootable] Je recherche...
Michaël Cornelis a écrit : Jean-Luc Coulon (f5ibh) a écrit : Le 05.11.2005 23:06:24, Michaël Cornelis a écrit : fabrice régnier a écrit : salut, voici la solution que j'utilise depuis 3 ans pour 30 utilisateurs: 486, 16Mo Ram, sans DD, 1 floppy avec la distro coyote bootable va voir ici: http://www.coyotelinux.com/products.php?Product=coyote a+ f. Bootable sur cd? Ce qui est bootable sur disquette l'est sur CD : un CD amorçable contient en fait une image de disquette. Mais ce qui risque de ne pas fonctionner, c'est de booter un 496 depuis un CD : les BIOS ne le permettent pas toujours. Sur une machine moderne, il est encore plus agréable de booter ce genre de distro depuis une clé USB. J-L Je cherche a me compliquer la vie ^^ Je viens de faire la disquette sous coyote linux je vais tester sa. Sinon j'avais fais une disquette qui permettait de booter les cds apres 5 sec. 1, boot sur disquette 2, boot sur cd Ce qui m'a permis de lancer des lives cd (light) car pour Kaella pas assez de ram ^^ Bonne soirée Mike -- Beaucoup de personnes ignorent les logiciels libres... une grave erreur :-( by lambdax1 Michaël Cornelis Etudiant (Qualification Technique en informatique) Chimay (Be) [EMAIL PROTECTED] ==> listes de diffusion [EMAIL PROTECTED] ==> Ma boite Mail -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: [Firewall all in one bootable] Je recherche...
Le 05.11.2005 23:06:24, Michaël Cornelis a écrit : fabrice régnier a écrit : salut, voici la solution que j'utilise depuis 3 ans pour 30 utilisateurs: 486, 16Mo Ram, sans DD, 1 floppy avec la distro coyote bootable va voir ici: http://www.coyotelinux.com/products.php?Product=coyote a+ f. Bootable sur cd? Ce qui est bootable sur disquette l'est sur CD : un CD amorçable contient en fait une image de disquette. Mais ce qui risque de ne pas fonctionner, c'est de booter un 496 depuis un CD : les BIOS ne le permettent pas toujours. Sur une machine moderne, il est encore plus agréable de booter ce genre de distro depuis une clé USB. J-L pgpZ6tg8ODBxE.pgp Description: PGP signature
Re: [Firewall all in one bootable] Je recherche...
fabrice régnier a écrit : salut, voici la solution que j'utilise depuis 3 ans pour 30 utilisateurs: 486, 16Mo Ram, sans DD, 1 floppy avec la distro coyote bootable va voir ici: http://www.coyotelinux.com/products.php?Product=coyote a+ f. Bootable sur cd? -- Beaucoup de personnes ignorent les logiciels libres... une grave erreur :-( by lambdax1 Michaël Cornelis Etudiant (Qualification Technique en informatique) Chimay (Be) [EMAIL PROTECTED] ==> listes de diffusion [EMAIL PROTECTED] ==> Ma boite Mail -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: [Firewall all in one bootable] Je recherche...
salut, voici la solution que j'utilise depuis 3 ans pour 30 utilisateurs: 486, 16Mo Ram, sans DD, 1 floppy avec la distro coyote bootable va voir ici: http://www.coyotelinux.com/products.php?Product=coyote a+ f. -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: [Firewall all in one bootable] Je recherche...
Michaël Cornelis a écrit : Bulot Grégory a écrit : Le Mardi 1 Novembre 2005 23:53, Michaël Cornelis a écrit : Je vais transformer mon vieux P1 en router /FW ^^ :-D P233mmx 100 MoRam : parfait avec ipcop (installé sur le dd antique de 500 Mo), certes) pour mes 6 postes (dont 4 avec des vrais utilisateurs devant) Oki merci, mais justement je compte faire tenir cela sur disquette ou sur Cd. Mais voila, le bios ne permet pas le boot sur cd. Il y a t-il moyen de booter sur la disquette... puis via un script booter le cd? Si quelqu'un savait me donner un exemple. Sa me permettrai de pouvoir mettre plus de trucs sur le Cd et mettre la configuration du FW sur la disquette. Alors pourquoi ne pas utiliser un Disque dur? 1 sa fait du bruit :-P 2 Il va claquer d'un moment ou d'un autre :-P Et 3 je veux un firewall Silencieux ^^ Light qui consomme pas trop :-) @ + all et encore merci -- Beaucoup de personnes ignorent les logiciels libres... une grave erreur :-( by lambdax1 Michaël Cornelis Etudiant (Qualification Technique en informatique) Chimay (Be) [EMAIL PROTECTED] ==> listes de diffusion [EMAIL PROTECTED] ==> Ma boite Mail -- Beaucoup de personnes ignorent les logiciels libres... une grave erreur :-( by lambdax1 Michaël Cornelis Etudiant (Qualification Technique en informatique) Chimay (Be) [EMAIL PROTECTED] ==> listes de diffusion [EMAIL PROTECTED] ==> Ma boite Mail -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: [Firewall] Sous interface GUI: Travail sujet d 'étude
On Sat, 29 Oct 2005 22:33:50 +0200 Michaël Cornelis <[EMAIL PROTECTED]> wrote: > J'aimerai avoir votre avis, je cherche un prog sous interfaces Graphique > Gnome ou KDE faisant utilisant les commandes IPTABLES. > Je cherche donc un programme ou j'ai accès en détails aux paramètres. Fwbuilder. Ou tu crée un script du style rc.firewall dans lequel tu mets tes règles/chaînes. -- M.B -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: [Firewall all in one bootable] Je recherche...
Le Mardi 1 Novembre 2005 23:53, Michaël Cornelis a écrit : > Je vais transformer mon vieux P1 en router /FW ^^ :-D P233mmx 100 MoRam : parfait avec ipcop (installé sur le dd antique de 500 Mo), certes) pour mes 6 postes (dont 4 avec des vrais utilisateurs devant)
Re: [Firewall all in one bootable] Je recherche...
Michaël Cornelis wrote: Hello all, J'ai déja entendu parler de distributions firewall/routeur bootable style IPcop sur cd ou disquette. Quelqu'un saurait-il m'indiquer une bonne distrib bootable sur disquette? Si possible que l'on sait configurer assez précisément? Merci all Je vais transformer mon vieux P1 en router /FW ^^ :-D freesco -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: [Firewall all in one bootable] Je recherche...
Daniel Huhardeaux a écrit : Michaël Cornelis a écrit : Hello all, J'ai déja entendu parler de distributions firewall/routeur bootable style IPcop sur cd ou disquette. Quelqu'un saurait-il m'indiquer une bonne distrib bootable sur disquette? Si possible que l'on sait configurer assez précisément? www.fli4l.de est parfait, floppy et/ou cd. Peut également être installé sur HDD mais cela perd de son intérêt. J'avais déja entendu parler de cette distrib. Je vais tester sa. Merci bien Mike -- Beaucoup de personnes ignorent les logiciels libres... une grave erreur :-( by lambdax1 Michaël Cornelis Etudiant (Qualification Technique en informatique) Chimay (Be) [EMAIL PROTECTED] ==> listes de diffusion [EMAIL PROTECTED] ==> Ma boite Mail -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: [Firewall all in one bootable] Je recherche...
Michaël Cornelis a écrit : Hello all, J'ai déja entendu parler de distributions firewall/routeur bootable style IPcop sur cd ou disquette. Quelqu'un saurait-il m'indiquer une bonne distrib bootable sur disquette? Si possible que l'on sait configurer assez précisément? www.fli4l.de est parfait, floppy et/ou cd. Peut également être installé sur HDD mais cela perd de son intérêt. -- Daniel Huhardeaux _ _ _ _ enum+48 32 285 5276 (_ __) _ ) _ (_ __) _ (_) iaxtel 1-700-849-6983 / / / // / // / / / / /_/ / / sip/iax:callto [EMAIL PROTECTED]/_/ ( ___( ___/ /_/ /_/ /_/_/.net -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: [Firewall] Sous interface GUI: Travail sujet d'étude
Le Samedi 29 Octobre 2005 22:33, Michaël Cornelis a écrit : > Bonjour a tous, Bonsoir > Je me présente je m'apelle Michaël Cornelis, je suis étudiant en > informatique. Et nouveau sur cette liste. > J'aimerai avoir votre avis, je cherche un prog sous interfaces Graphique > Gnome ou KDE faisant utilisant les commandes IPTABLES. > Je cherche donc un programme ou j'ai accès en détails aux paramètres. Jette un coup d'oeil à 'fwbuilder'..., cependant j'ai toujours préféré la ligne de commande car elle permet une plus grande maîtrise des règles. > > Merci @ tous De rien > > > Mike -- Touch13
Re: Firewall furtif (iptables TTL)
Salut, [EMAIL PROTECTED] a écrit : iptables -t mangle -A PREROUTING -j TTL --ttl-inc 1 malheureusement cette commande ne marche pas et je ne vois pas ou! Qu'est-ce que ça veut dire "ne marche pas" ? Il y a un message d'erreur (si oui lequel) ou bien elle est sans effet ? Un fil est passé il y a un mois ou 2 sur le sujet. Le noyau utilisé est-il PATCHÉ avec le support TTL ? aucune idée... comment le savoir... Avec le message d'erreur retourné par iptables s'il y en a un. Ou $ grep CONFIG_IP_NF_TARGET_TTL /boot/config-`uname -r` doit retourner CONFIG_IP_NF_TARGET_TTL=y ou m Si compilé en module (=m), $ modinfo ipt_TTL doit retourner le chemin et la description du module. -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Firewall furtif (iptables TTL)
aucune idée... comment le savoire... Le lundi 04 juillet 2005 à 20:56 +0200, David Dumortier a écrit : > Bonsoir, > > [EMAIL PROTECTED] wrote: > > >Voilà pour rendre ma passerel invisible (du moin le plus possible) > >je voulais que chaque paquet est un TTL qui ne change pas > >voici: > > > >iptables -t mangle -A PREROUTING -j TTL --ttl-inc 1 > > > >malheureusement cette commande ne marche pas et je ne vois pas ou! > > > > > Un fil est passé il y a un mois ou 2 sur le sujet. Le noyau utilisé > est-il PATCHÉ avec le support TTL ? > > >pourriez vous m'aidez s'il vous plait? > > > > > -- > David Dumortier > > -- Pensez � lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez � rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Firewall furtif (iptables TTL)
Bonsoir, [EMAIL PROTECTED] wrote: Voilà pour rendre ma passerel invisible (du moin le plus possible) je voulais que chaque paquet est un TTL qui ne change pas voici: iptables -t mangle -A PREROUTING -j TTL --ttl-inc 1 malheureusement cette commande ne marche pas et je ne vois pas ou! Un fil est passé il y a un mois ou 2 sur le sujet. Le noyau utilisé est-il PATCHÉ avec le support TTL ? pourriez vous m'aidez s'il vous plait? -- David Dumortier -- Pensez � lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez � rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Firewall au démarrage
On Sun, 2005-01-30 at 14:44 +0100, J.-Pierre Pourrez wrote: > Pourquoi ne pas le faire "à la Debian" ? Tiens c'est etonnant, j'ai posé la meme question dans un mail dont le sujet est script init iptables, mais je l'ai posée différemment. Il a eu une reponse lui ;-) J'ai surement mal posé ma question... -- ASPO Infogérance http://aspo.rktmb.org/activites/infogerance Unofficial FAQ fcolc http://faq.fcolc.eu.org/ LUG sur Orléans et alentours (France). Tél : 02 34 08 26 04 / 06 33 26 13 14 -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Firewall au démarrage
Guillaume a écrit : Bonjour à toute la liste :-) J'ai récupéré, sur le site trustonme.net, un script de firewall, qui s'exécute par ./firewall start ; j'ai placé ce script dans /usr/bin et j'aimerais qu'il se lance au démarrage. Comment faire ? Pourquoi ne pas le faire "à la Debian" ? Lances le script pour indiquer à Iptables les règles que tu veux utiliser pour ton firewall. Sauvegardes ces règles par : /etc/init.d/iptables save active Au prochain reboot ou par "/etc/init.d/iptables start", les régles seront automatiquement rechargées. Reste juste à mettre les bonnes valeurs dans /etc/network/options N.B.: Il manque les règles Iptables pour ne pas répondre aux pings extérieurs. J'utilise ceci: I="/sbin/iptables" IF_EXT="ppp0" # côté internet $I -A OUTPUT -o $IF_EXT -m state --state ! INVALID -p icmp -j ACCEPT $I -A INPUT -i $IF_EXT -m state --state RELATED -p icmp -j ACCEPT Pour comprendre un peu mieux Iptables, voici un lien intéressant: http://christian.caleca.free.fr/netfilter/iptables.htm Merci d'avance à toutes les réponses :-) Avec plaisir Jean-Pierre -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Firewall au démarrage
Guillaume a écrit, dimanche 30 janvier 2005, à 12:33 : > Bonjour à toute la liste :-) bonjour, > J'ai récupéré, sur le site trustonme.net, un script de firewall, qui > s'exécute par ./firewall start ; j'ai placé ce script dans /usr/bin C'est une mauvaise idée, /usr/bin est géré par le système de paquets ; comme c'est un outil d'administration à exécuter sous root, a priori sa place serait plutôt du côté de /usr/local/sbin (ou /root/bin) ... > et j'aimerais qu'il se lance au démarrage. ... alors on peut le mettre dans /etc/init.d/ (s'il n'y a pas conflit avec un paquet quelconque --- appelle-le plutôt parefeu), et créer les liens nécessaires dans les répertoires /etc/rc.d/ à l'aide de la commande update-rc (cf. la page de manuel). Ah, oui, vérifie aussi que le script fait quelque chose (d'intelligent) avec l'argument stop, et affiche son aide sans arguments, cf. les scripts dans /etc/init.d/. > Merci d'avance à toutes les réponses :-) de rien, -- Jacques L'helgoualc'h -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Firewall au démarrage
Le Dimanche 30 Janvier 2005 12:33, Guillaume a écrit : > Bonjour à toute la liste :-) > > J'ai récupéré, sur le site trustonme.net, un script de firewall, qui > s'exécute par ./firewall start ; j'ai placé ce script dans /usr/bin et > j'aimerais qu'il se lance au démarrage. > Comment faire ? > > Merci d'avance à toutes les réponses :-) Tu peut faire un script dans /etc/init.d en te basant sur /etc/init.d/skeleton . Ensuite regarde du côté de update-rc.d pour le mettre dans les scripts exécutés au démarrage. -- Florent -- Citation aléatoire -- Devenez veilleur de nuit (cours du soir), pilote de course (cours accélérés), facteur (cours par correspondance). -+- Philippe Geluck, Le chat -+- pgpgoWWNEs55F.pgp Description: PGP signature
Re: [firewall]n'autoriser qu'un seul site
On Wed, 22 Dec 2004 09:21:06 +0100 Jonathan ILIAS <[EMAIL PROTECTED]> wrote: >pyb a écrit : >> je possède une passerelle munie d'un firewall pour mon mini réseau >local.> Pour une seule machine (par ex 192.168.0.3) je ne veux >autoriser qu'un > seul site à passer et un seul (comme par exemple >> www.winchiotteupdate.com)! tous les autres doivent être dropés. >> ma question : quelle règle iptable dois-je utiliser ? >> > >iptables ne filtre basiquement que les couches 3 et 4 (i.e. IP et TCP >principalement). Il n'existe pas de filtres pour les couches >supérieures à ma connaissance dans netfilter. Je crois qu'il existe un >projet nommé L7 (pour layer 7) qui a pour objet de faire ça, mais ça >reste de l'expérimental. > >Je dis ça, parce que HTTP permet de spécifier un hôte virtuel. Donc >avec la même adresse IP, tu peux avoir plusieurs serveurs. Alors il >peut être bon de ne laisser passer que l'adresse IP (ou les adresses >IP, parce que le site est peut-être réparti) concernée, mais ça ne sera >pas suffisant. > >Si la solution de L7 ne te convient pas, il est toujours possible >d'utiliser un proxy, éventuellement transparent. > >Bon, je donne des pistes, mais désolé, je n'ai aucune expérience de >celles-ci ;-) > >Bon courage ! > >-- >Jonathan ILIAS > > Sur mon firewall/router j'ai également installé un proxy (squid) qui permet déjà pas mal de choses et surtout squidguard qui serait la solution. ( squid + squidguard) amicalement mess-mate
Re: [firewall]n'autoriser qu'un seul site
pyb a écrit : je possède une passerelle munie d'un firewall pour mon mini réseau local. Pour une seule machine (par ex 192.168.0.3) je ne veux autoriser qu'un seul site à passer et un seul (comme par exemple www.winchiotteupdate.com)! tous les autres doivent être dropés. ma question : quelle règle iptable dois-je utiliser ? iptables ne filtre basiquement que les couches 3 et 4 (i.e. IP et TCP principalement). Il n'existe pas de filtres pour les couches supérieures à ma connaissance dans netfilter. Je crois qu'il existe un projet nommé L7 (pour layer 7) qui a pour objet de faire ça, mais ça reste de l'expérimental. Je dis ça, parce que HTTP permet de spécifier un hôte virtuel. Donc avec la même adresse IP, tu peux avoir plusieurs serveurs. Alors il peut être bon de ne laisser passer que l'adresse IP (ou les adresses IP, parce que le site est peut-être réparti) concernée, mais ça ne sera pas suffisant. Si la solution de L7 ne te convient pas, il est toujours possible d'utiliser un proxy, éventuellement transparent. Bon, je donne des pistes, mais désolé, je n'ai aucune expérience de celles-ci ;-) Bon courage ! -- Jonathan ILIAS
Re: [firewall]n'autoriser qu'un seul site
bonjour, Le mardi 21 décembre 2004, pyb a écrit... > je possède une passerelle munie d'un firewall pour mon mini réseau local. > Pour une seule machine (par ex 192.168.0.3) je ne veux autoriser qu'un > seul site à passer et un seul (comme par exemple > www.winchiotteupdate.com)! tous les autres doivent être dropés. > ma question : quelle règle iptable dois-je utiliser ? Tu crées une règle sur la chaine FORWARD, avec l'ip source de cette machine et un ACCEPT sur l'ip du site autorisé. Puis une autre chaine qui droppe tout le reste. Attention il faut autoriser les paquets entrants de ce site. Et quelques autres aussi: icmp, dns. -- jm
Re: Firewall "générique"
Wed, 06 Oct 2004 20:31:04 +0200, Jean Baptiste FAVRE a écrit :
>[...]
> Forcément, ça marche mieux qu' "include" ;-)
> Je vais regarder cela demain (c'est pour le boulot).
> Par hasard, juste en passant, on pourrait pas inverser (c-a-d définir
> les variables et faire un "source" ou équivalent du script iptables ?).
Ben si, ça marche aussi. « source » (ou « . » dans certains shells,
notamment bash) correspond à un « include ». On notera donc que, génie
lociellement parlant, ce qui est « includé » est ce qui est réutilisable
(en général fonctions et autres définitions).
On peut donc, en gros, voir trois parties dans un logiciel :
- les paramètres (configuration) ;
- les définitions réutilisables (fonctions, structures, etc.) ;
- le corps (non réutilisable).
Dans ton cas, tu peux faire :
{{
toto="coucou"
source
}}
ce qui fait que tu dois modifier le script pour changer les paramètres,
ou :
{{
source
ma_fonction "toto" "tutu"
}}
idem mais point de vue inversé et plus langage de programmation (les
fonctions sont plus génériques : elles ne sont pas liées à des variables
globales),
ou, plus modulaire :
{{
source
source
ma_fonction $toto $tutu
}}
ce qui fait que les fonctions et le script principal ne sont pas modifiés,
seul le fichier de paramètres est à modifier (plus propre à mon avis :
on peut placer les paramètres dans /etc et les scripts dans des
répertoires en read-only (genre /usr/local/sbin)).
Bon courage,
--
Sylvain Sauvage
Re: Firewall "générique"
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Forcément, ça marche mieux qu' "include" ;-) Je vais regarder cela demain (c'est pour le boulot). Par hasard, juste en passant, on pourrait pas inverser (c-a-d définir les variables et faire un "source" ou équivalent du script iptables ?). Merci pour tout. FAVRE Jean Baptiste Sylvain Sauvage a écrit : | Wed, 06 Oct 2004 18:22:21 +0200, Jean Baptiste FAVRE a écrit : | |>-BEGIN PGP SIGNED MESSAGE- |>Hash: SHA1 |> |>Bonjour à tous, | | | Bonjour, | | |>[...] |>J'ai évidemment tenté la solution "en dur dans chaque script". Le |>problème alors est de propager une modification des règles dans |>plusieurs fichiers avec les risques d'erreurs inhérents (en même temps, |>c'est un peu pour cela que je cherche une solution plus "propre"). | | | Tu mets tes variables dans un fichier unique (p.ex. mesvariables) et dans | les scripts tu fais un « source mesvariables » au début. | -BEGIN PGP SIGNATURE- Version: GnuPG v1.2.5 (GNU/Linux) Comment: Using GnuPG with Thunderbird - http://enigmail.mozdev.org iD8DBQFBZDnoc6BzCVpFUUcRAh5yAJ9Gsu+Px8//f7FR7BQwNtx/3p5r3ACgqEcw XJrzvO/tD5Zrz5lxCGHyTFk= =Z7rq -END PGP SIGNATURE-
Re: Firewall "générique"
Wed, 06 Oct 2004 18:22:21 +0200, Jean Baptiste FAVRE a écrit : > -BEGIN PGP SIGNED MESSAGE- > Hash: SHA1 > > Bonjour à tous, Bonjour, >[...] > J'ai évidemment tenté la solution "en dur dans chaque script". Le > problème alors est de propager une modification des règles dans > plusieurs fichiers avec les risques d'erreurs inhérents (en même temps, > c'est un peu pour cela que je cherche une solution plus "propre"). Tu mets tes variables dans un fichier unique (p.ex. mesvariables) et dans les scripts tu fais un « source mesvariables » au début. -- Sylvain Sauvage
Re: Firewall, eMule, et mon fils
Le 12481ième jour après Epoch, Thomas Labourdette écrivait: > Le Thu, Mar 04, 2004 at 12:51:17AM +0100, François TOURDE écrivait: >> Le 12480ième jour après Epoch, >> [EMAIL PROTECTED] écrivait: >> >> > salut, > [...] >> > #Ouverture des ports pour E-Mule >> > iptables -t nat -A PREROUTING -i ppp0 -p tcp -m tcp --dport 4661 -j >> > DNAT --to 192.168.0.4:4661 >> > iptables -t nat -A PREROUTING -i ppp0 -p tcp -m tcp --dport 4662 -j >> > DNAT --to 192.168.0.4:4662 >> > iptables -t nat -A PREROUTING -i ppp0 -p udp -m udp --dport 4665 -j >> > DNAT --to 192.168.0.4:4665 >> > iptables -A FORWARD -i ppp0 -o eth1 -p tcp -d 192.168.0.4 --dport 4661 -j >> > ACCEPT >> > iptables -A FORWARD -i ppp0 -o eth1 -p tcp -d 192.168.0.4 --dport 4662 -j >> > ACCEPT >> > iptables -A FORWARD -i ppp0 -o eth1 -p udp -d 192.168.0.4 --dport 4665 -j >> > ACCEPT >> > > [...] >> Mon objectif est de faire du DNAT, mais seulement au moment où l'appli >> qui en a besoin démarre. Et l'arrêter juste après. >> > > Peut-être en se servant du patch condition de netfilter. Il suffit > dans les règles ci-dessus d'ajouter : > --condition emule. > > Pour l'activer : echo 1 > /proc/net/ipt_condition/emule > et pour le désactiver : echo 0 > /proc/net/ipt_condition/emule > > Voir : 3.2 dans > http://minilien.com/?eB7vGSczhe Pas mal ce truc... C'est une bonne idée. Il va me rester maintenant à vérifier que emule tourne ou non sur la machine cliente, pour activer la condition... Merci beaucoup! -- Where's the Coke machine? Tell me a joke!!
Re: Firewall, eMule, et mon fils
Le 04/03/2004 00:51, François TOURDE écrivait : Mon objectif est de faire du DNAT, mais seulement au moment où l'appli qui en a besoin démarre. Et l'arrêter juste après. Dans le cas d'emule, le port a besoin de rester ouvert pendant tout le temps ou l'application est lancée, et c'est le genre d'application que ton fils risque de vouloir laisser tourner longtemps (si ce n'est 24/24). a+ -- Antoine (Retirer le SPAM.)
