Re: quel firewall facile ?
On Wed, Feb 28, 2007 at 05:57:13PM +0100, mess-mate wrote: Bonjour, le firewall de mon routeur(debian) est le 'arno-iptables-firewall' qui jusqu'à présent donnait pleine satisfaction. Ayant maintenant installé un dmz, celui-ci n'a pas l'air d'être à la page ou c'est moi qui n'arrive pas à le configurer à ce niveau. Quoi qu'il en soit j'adopterais volontiers pour un autre firewall pas trop compliqué (disons facile) car il faut qu'il marche au plus vite afin de remettre mes pages sur le net. De préférence un firewall en mode console. Que me conseillez-vous ? cordialement mess-mate aptitude install firehol -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: quel firewall facile ?
anto [EMAIL PROTECTED] wrote: | mess-mate a écrit : | Bonjour, | le firewall de mon routeur(debian) est le 'arno-iptables-firewall' | qui jusqu'à présent donnait pleine satisfaction. | | Ayant maintenant installé un dmz, celui-ci n'a pas l'air d'être à la | page ou c'est moi qui n'arrive pas à le configurer à ce niveau. | | Quoi qu'il en soit j'adopterais volontiers pour un autre firewall | pas trop compliqué (disons facile) car il faut qu'il marche au plus | vite afin de remettre mes pages sur le net. | De préférence un firewall en mode console. | Que me conseillez-vous ? | cordialement | mess-mate | Euh, question stupide ... Pourquoi ne pas essayer une distro dédiée ? | Genre IpCop, Smoothwall et j'en passe ... | Le gros avantage de ces distros, c'est qu'elles te permettent une administration assez | simple. | Et surtout, elles ont été développées pour ça !!! | :) | D'après les suggestions précédentes j'ai adopté shorewall. C'est en effet une firewall supporté par debian, beaucoup de doc disponible (anglais/francais) et une email liste. Ce firewall permet ce qu'il me fallait également, c.à.d. une zone DMZ, LAN, MODEM (pppoe) et WIFI. Après avoir compris le fil du setup et sa config cela est assez simple à configurer. Cela marche à merveille et j'ai ce qu'il faut. Naturellement, et je m'en occupe, un firewall pour une station de travail uniquement, peut être plus simple et je me servirais des suggestions recues. Encore un grand merci à tout ceux qui m'ont répondus et qui m'ont permis de faire le bon choix. cordialement mess-mate -- The Bulwer-Lytton fiction contest is held ever year at San Jose State Univ. by Professor Scott Rice. It is held in memory of Edward George Earle Bulwer-Lytton (1803-1873), a rather prolific and popular (in his time) novelist. He is best known today for having written The Last Days of Pompeii. Whenever Snoopy starts typing his novel from the top of his doghouse, beginning It was a dark and stormy night... he is borrowing from Lord Bulwer-Lytton. This was the line that opened his novel, Paul Clifford, written in 1830. The full line reveals why it is so bad: It was a dark and stormy night; the rain fell in torrents -- except at occasional intervals, when it was checked by a violent gust of wind which swept up the streets (for it is in London that our scene lies), rattling along the housetops, and fiercely agitating the scanty flame of the lamps that struggled against the darkness.
Re: quel firewall facile ?
mess-mate a écrit : Bonjour, le firewall de mon routeur(debian) est le 'arno-iptables-firewall' qui jusqu'à présent donnait pleine satisfaction. Ayant maintenant installé un dmz, celui-ci n'a pas l'air d'être à la page ou c'est moi qui n'arrive pas à le configurer à ce niveau. Quoi qu'il en soit j'adopterais volontiers pour un autre firewall pas trop compliqué (disons facile) car il faut qu'il marche au plus vite afin de remettre mes pages sur le net. De préférence un firewall en mode console. Que me conseillez-vous ? cordialement mess-mate Euh, question stupide ... Pourquoi ne pas essayer une distro dédiée ? Genre IpCop, Smoothwall et j'en passe ... Le gros avantage de ces distros, c'est qu'elles te permettent une administration assez simple. Et surtout, elles ont été développées pour ça !!! :) -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: quel firewall facile ?
Jean-Yves F. Barbier [EMAIL PROTECTED] wrote: | Le mercredi 28 février 2007 17:57, mess-mate a écrit : | Bonjour, | le firewall de mon routeur(debian) est le 'arno-iptables-firewall' | qui jusqu'à présent donnait pleine satisfaction. | | Ayant maintenant installé un dmz, celui-ci n'a pas l'air d'être à la | page ou c'est moi qui n'arrive pas à le configurer à ce niveau. | | Quoi qu'il en soit j'adopterais volontiers pour un autre firewall | pas trop compliqué (disons facile) car il faut qu'il marche au plus | vite afin de remettre mes pages sur le net. | De préférence un firewall en mode console. | Que me conseillez-vous ? | cordialement | mess-mate | | shorewall (pas mal de HOWTOs, même en fr sur le net) | | Merci à tous. J'ai temporairement adopté shorewall pour le routeur/firewall/proxy. J'ai cependant des problèmes pour que l'on puisse accéder de l'extérieur à mon serveur dans le dmz. Quelqu'un pourrait me mettre sur la voie ? cordialement mess-mate -- She is not refined. She is not unrefined. She keeps a parrot. -- Mark Twain
Re: quel firewall facile ?
On Thu,Mar,01,2007, mess-mate wrote: [...] shorewall (pas mal de HOWTOs, même en fr sur le net) [...] J'ai temporairement adopté shorewall pour le routeur/firewall/proxy. J'ai cependant des problèmes pour que l'on puisse accéder de l'extérieur à mon serveur dans le dmz. Quelqu'un pourrait me mettre sur la voie ? Cherche REDIRECT dans les commentaires du fichiers rules en exemple dpkg -L shorewall |grep /rules$ | less /REDIRECT Cordialement, Val. -- .''`. : :' : Laurent Vallar - aka Val - Network System Staff Engineer `. `' GPG Key: 1024D/C4F38417 - http://www.zbla.net `- -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: quel firewall facile ?
Laurent Vallar - aka Val [EMAIL PROTECTED] wrote: | On Thu,Mar,01,2007, mess-mate wrote: | [...] | shorewall (pas mal de HOWTOs, même en fr sur le net) | [...] | J'ai temporairement adopté shorewall pour le routeur/firewall/proxy. | J'ai cependant des problèmes pour que l'on puisse accéder de | l'extérieur à mon serveur dans le dmz. | Quelqu'un pourrait me mettre sur la voie ? | | | Cherche REDIRECT dans les commentaires du fichiers rules en exemple | | dpkg -L shorewall |grep /rules$ | less | /REDIRECT | Voici : REDIRECT loc3128 tcp 80 # pour mon proxy mais aussi: DNAT netdmz:192.168.30.1 tcp 80 - $ETH0_IP ajuoté selon la doc pour des IP dynamique. mess-mate -- Truth is the most valuable thing we have -- so let us economize it. -- Mark Twain
Re: quel firewall facile ?
mess-mate wrote: Bonjour, le firewall de mon routeur(debian) est le 'arno-iptables-firewall' qui jusqu'à présent donnait pleine satisfaction. Ayant maintenant installé un dmz, celui-ci n'a pas l'air d'être à la page ou c'est moi qui n'arrive pas à le configurer à ce niveau. Quoi qu'il en soit j'adopterais volontiers pour un autre firewall pas trop compliqué (disons facile) car il faut qu'il marche au plus vite afin de remettre mes pages sur le net. De préférence un firewall en mode console. Que me conseillez-vous ? cordialement mess-mate Regarde si firestarter existe dans les packages. Je l'utilise ous ubuntu il est très simplissime. -- http://krusaf.org/blog/ -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
Re: quel firewall facile ?
On Fri, Mar 02, 2007 at 07:35:32PM +0100, krusaf wrote: mess-mate wrote: Bonjour, le firewall de mon routeur(debian) est le 'arno-iptables-firewall' qui jusqu'à présent donnait pleine satisfaction. Ayant maintenant installé un dmz, celui-ci n'a pas l'air d'être à la page ou c'est moi qui n'arrive pas à le configurer à ce niveau. Quoi qu'il en soit j'adopterais volontiers pour un autre firewall pas trop compliqué (disons facile) car il faut qu'il marche au plus vite afin de remettre mes pages sur le net. De préférence un firewall en mode console. Que me conseillez-vous ? cordialement mess-mate Regarde si firestarter existe dans les packages. Je l'utilise ous ubuntu il est très simplissime. J'ai jamais essaye, mais jete aussi un coup d'oeil sur guarddog. -- Franck Joncourt http://www.debian.org http://smhteam.info/wiki/ GPG server : pgpkeys.mit.edu Fingerprint : C10E D1D0 EF70 0A2A CACF 9A3C C490 534E 75C0 89FE signature.asc Description: Digital signature
Re: quel firewall facile ?
shorewall (pas mal de HOWTOs, même en fr sur le net) pareil ici, shorewall m'évite de comprendre toutes les rêgles iptables qui me dépassent un peu. Avec shorewall, j'ai retrouvé la santé, je passe plus de temps avec mes copines et mes cheveux sont plus brillants ! Ok, je monte dans ma chambre :) f. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs From et Reply-To: To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of unsubscribe. Trouble? Contact [EMAIL PROTECTED]
quel firewall facile ?
Bonjour, le firewall de mon routeur(debian) est le 'arno-iptables-firewall' qui jusqu'à présent donnait pleine satisfaction. Ayant maintenant installé un dmz, celui-ci n'a pas l'air d'être à la page ou c'est moi qui n'arrive pas à le configurer à ce niveau. Quoi qu'il en soit j'adopterais volontiers pour un autre firewall pas trop compliqué (disons facile) car il faut qu'il marche au plus vite afin de remettre mes pages sur le net. De préférence un firewall en mode console. Que me conseillez-vous ? cordialement mess-mate -- Patch griefs with proverbs. -- William Shakespeare, Much Ado About Nothing
Re: quel firewall facile ?
Le mercredi 28 février 2007 17:57, mess-mate a écrit : Bonjour, le firewall de mon routeur(debian) est le 'arno-iptables-firewall' qui jusqu'à présent donnait pleine satisfaction. Ayant maintenant installé un dmz, celui-ci n'a pas l'air d'être à la page ou c'est moi qui n'arrive pas à le configurer à ce niveau. Quoi qu'il en soit j'adopterais volontiers pour un autre firewall pas trop compliqué (disons facile) car il faut qu'il marche au plus vite afin de remettre mes pages sur le net. De préférence un firewall en mode console. Que me conseillez-vous ? cordialement mess-mate shorewall (pas mal de HOWTOs, même en fr sur le net)
Re: quel firewall facile ?
Ceci marche bien chez moi
Tout est expliqué là :
http://lea-linux.org/pho/read/3/227949/228105/quote
#!/bin/sh
# firewall v1.0.1 Oct 13 09:48:57 PDT 2003 written by : Kernel
[EMAIL PROTECTED]
# this script is free software according to the GNU General Public
License (see [www.gnu.org])
# Start/stop/restart/status firewall:
firewall_start() {
echo [Démarrage du firewall]
### REGLES PAR DEFAUT
###
echo [Initialisation de la table filter]
iptables -F
iptables -X
echo [Politique par défaut de la table filter]
# On ignore tout ce qui entre ou transite par la passerelle
iptables -P INPUT DROP
iptables -P FORWARD DROP
# On accepte, ce qui sort
iptables -P OUTPUT ACCEPT
# Pour éviter les mauvaises suprises, on va autoriser l'accès à la
loopback :
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
### LOCAL-INTERNET
###
echo [On autorise les clients à accéder à internet]
#On créé une nouvelle chaîne, le nom est indifférent
# appelons-la local-internet
iptables -N local-internet
# On définit le profil de ceux qui appartiendront à local-internet
# local-internet concerne toutes les connections sauf celles venant
d'internet ( ! = non)
# En gros avec ça, vous rendez, vos serveurs inaccessibles depuis
internet.
# Pas de panique, certains serveurs seront autorisés explicitement dans
la suite.
iptables -A local-internet -m state --state NEW -i ! ppp0 -j ACCEPT
#Evidemment, une fois acceptées comme local-internet, les connections
peuvent continuer
# et faire des petits image : content
iptables -A local-internet -m state --state ESTABLISHED,RELATED -j
ACCEPT
# On termine en indiquant que les connections appartenant à
local-internet
# accèdent à internet de manière transparente.
iptables -A INPUT -j local-internet
iptables -A FORWARD -j local-internet
### LES TABLES NAT ET MANGLE
#
echo [Initialisation des tables nat et mangle]
iptables -t nat -F
iptables -t nat -X
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P OUTPUT ACCEPT
LE MASQUERADING
# Commentez ces 2 lignes, si vous ne faîtes pas du masquerading (nat)
echo [Mise en place du masquerading]
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o ppp0 -j MASQUERADE
# ACTIVATION DE LA PASSERELLE
##
echo [Activation de la passerelle]
echo 1 /proc/sys/net/ipv4/ip_forward
# PAS DE SPOOFING
echo [Pas de spoofing]
if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ] ; then
for filtre in /proc/sys/net/ipv4/conf/*/rp_filter
do
echo 1 $filtre
done
fi
## PAS DE SYNFLOOD
echo [Pas de synflood]
if [ -e /proc/sys/net/ipv4/tcp_syncookies ] ; then
echo 1 /proc/sys/net/ipv4/tcp_syncookies
fi
## PAS DE PING
###
# commentez ces 6 lignes, si vous autorisez les pings sur votre
passerelle
echo [Pas ping]
echo 1 /proc/sys/net/ipv4/icmp_echo_ignore_all
echo 1 /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
if [ -e /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses ] ; then
echo 1 /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
fi
# Priorisation de la bande passante et des connections - QoS
image : rireroll// ça, tu n'en auras pas forcément besoin (d'ailleurs,
ici c'est encore incomplet, la priorisation (QoS) ne fonctionne que pour
les données que j'envoie (upload) mais pas pour le download.)image :
rireroll
echo [priorisation des connections ssh ...];
iptables -A PREROUTING -t mangle -p tcp --sport 443 -j TOS --set-tos
Minimize-Delay
echo [priorisation des connections http ...];
iptables -A PREROUTING -t mangle -p tcp --sport http -j TOS --set-tos
Maximize-throughput
iptables -A PREROUTING -t mangle -p tcp --sport 3129 -j TOS --set-tos
Maximize-throughput
echo [priorisation des connections Diablo 2 ...];
iptables -A PREROUTING -t mangle -p tcp --sport 6112:6119 -j TOS
--set-tos Minimize-Delay
iptables -A PREROUTING -t mangle -p udp --sport 6112:6119 -j TOS
--set-tos Minimize-Delay
iptables -A PREROUTING -t mangle -p tcp --sport 4000 -j TOS --set-tos
Minimize-Delay
iptables -A PREROUTING -t mangle -p udp --sport 4000 -j TOS --set-tos
Minimize-Delay
# Maximum de débit à Diablo 2
iptables -A PREROUTING -t mangle -p tcp --sport 6112:6119 -j TOS
--set-tos Maximize-Throughput
iptables -A PREROUTING -t mangle -p udp --sport 6112:6119 -j TOS
--set-tos Maximize-Throughput
iptables -A PREROUTING -t mangle -p tcp --sport 4000 -j
Re: quel firewall facile ?
Ne poussons pas pépère dans les orties
Le fichier que je t'ai mis en pièce jointe est à renommer et à copier
dans /etc/init.d
Ensuite faire pointer des liens symbolique dessus, à partir
de /etc/rc.xx selon ce que tu veux au démarrage.
Je peux te donner + de détails si nécessaire
L'article de Léa était à adapter, vu que la page concerne la Slackware
Ce script fonctionne parfaitement et je l'ai testé sur des sites de test
où ce firewall a obtenu la meilleure note.
Jer
Le mercredi 28 février 2007 à 19:57 +0100, jeriop a écrit :
Ceci marche bien chez moi
Tout est expliqué là :
http://lea-linux.org/pho/read/3/227949/228105/quote
#!/bin/sh
# firewall v1.0.1 Oct 13 09:48:57 PDT 2003 written by : Kernel
[EMAIL PROTECTED]
# this script is free software according to the GNU General Public
License (see [www.gnu.org])
# Start/stop/restart/status firewall:
firewall_start() {
echo [Démarrage du firewall]
### REGLES PAR DEFAUT
###
echo [Initialisation de la table filter]
iptables -F
iptables -X
echo [Politique par défaut de la table filter]
# On ignore tout ce qui entre ou transite par la passerelle
iptables -P INPUT DROP
iptables -P FORWARD DROP
# On accepte, ce qui sort
iptables -P OUTPUT ACCEPT
# Pour éviter les mauvaises suprises, on va autoriser l'accès à la
loopback :
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
### LOCAL-INTERNET
###
echo [On autorise les clients à accéder à internet]
#On créé une nouvelle chaîne, le nom est indifférent
# appelons-la local-internet
iptables -N local-internet
# On définit le profil de ceux qui appartiendront à local-internet
# local-internet concerne toutes les connections sauf celles venant
d'internet ( ! = non)
# En gros avec ça, vous rendez, vos serveurs inaccessibles depuis
internet.
# Pas de panique, certains serveurs seront autorisés explicitement
dans la suite.
iptables -A local-internet -m state --state NEW -i ! ppp0 -j ACCEPT
#Evidemment, une fois acceptées comme local-internet, les
connections peuvent continuer
# et faire des petits image : content
iptables -A local-internet -m state --state ESTABLISHED,RELATED -j
ACCEPT
# On termine en indiquant que les connections appartenant à
local-internet
# accèdent à internet de manière transparente.
iptables -A INPUT -j local-internet
iptables -A FORWARD -j local-internet
### LES TABLES NAT ET MANGLE
#
echo [Initialisation des tables nat et mangle]
iptables -t nat -F
iptables -t nat -X
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT
iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P OUTPUT ACCEPT
LE MASQUERADING
# Commentez ces 2 lignes, si vous ne faîtes pas du masquerading (nat)
echo [Mise en place du masquerading]
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o ppp0 -j
MASQUERADE
# ACTIVATION DE LA PASSERELLE
##
echo [Activation de la passerelle]
echo 1 /proc/sys/net/ipv4/ip_forward
# PAS DE SPOOFING
echo [Pas de spoofing]
if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ] ; then
for filtre in /proc/sys/net/ipv4/conf/*/rp_filter
do
echo 1 $filtre
done
fi
## PAS DE SYNFLOOD
echo [Pas de synflood]
if [ -e /proc/sys/net/ipv4/tcp_syncookies ] ; then
echo 1 /proc/sys/net/ipv4/tcp_syncookies
fi
## PAS DE PING
###
# commentez ces 6 lignes, si vous autorisez les pings sur votre
passerelle
echo [Pas ping]
echo 1 /proc/sys/net/ipv4/icmp_echo_ignore_all
echo 1 /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
if [ -e /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses ] ; then
echo 1 /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
fi
# Priorisation de la bande passante et des connections -
QoS
image : rireroll// ça, tu n'en auras pas forcément besoin (d'ailleurs,
ici c'est encore incomplet, la priorisation (QoS) ne fonctionne que
pour les données que j'envoie (upload) mais pas pour le
download.)image : rireroll
echo [priorisation des connections ssh ...];
iptables -A PREROUTING -t mangle -p tcp --sport 443 -j TOS --set-tos
Minimize-Delay
echo [priorisation des connections http ...];
iptables -A PREROUTING -t mangle -p tcp --sport http -j TOS --set-tos
Maximize-throughput
iptables -A PREROUTING -t mangle -p tcp --sport 3129 -j TOS --set-tos
Maximize-throughput
