Reprise du message précédent :

mais de rien
pour le reste de la sécurisation de ton réseau tu peux t'addresser a pétrole

et on m'ai combien de temps pour mettre en place les ACL ?
conf normal -enfin pas exentrique-, cerveau du kidam de base

ca dépend
grsec 2.x a une option full learning nettement amélioré par rapport au 1.9x apres suffit de faire tourner disons 1-2 jours la machine & apres de générer les regles.
ceci dit n'ayant pas la doc j'ai pas voulu m'y lancer .
apres la mise en place des acl pour un 1.9x se fait progressivement je dirais .
pour que tout fonctionne +/- bien disons 3-4 heures apres faut compter je pense bien deux semaines de polissage
(je parle de mon cas quand j'étais avec le 1.9x .)

 
t'as vu, c'est mécanique on dirait, suffit qu'il parte et le niveau s'élève  

 
tiens c'est vrai qu'il fait que je fasse àa Mais pourquoi tu n'as pas voul t'y lancer ? Perso j'ai un gros /var donc grsec en mode learning pourra me pourrir ma machine, ce n'est pas grave. Ensuite, le plus chiant, c'est de tester tou ce qui tourne sur la machine, les softs qu'on lance de temps en temps, les mises à jour de la SID, etc... pour etre sur qu'au prochain reboot de la machine avec les acl, tout marche encore  

bah en fait j'ai l'impression que le full learning n'a pas pas la finesse sur certaine choses .
par exemple dans la version 1.9x il gérait automatiquement les ajouts de capacités diverses ( les +CAP_NET_RAW & autres joyeusetés ) alors que la j'ai testé une déco/reco bein pppd il n'avait pas le droit de remettre la route par défaut ce qui peut etre un problème .
bref je n'ai vu que cela , donc je pense que je vais m'y reprendre a l'ancienne et j'attends la doc : en théorie (en tout cas c'est ce que dit spender ) les acls du 1.9 sont 'facilement' transposables il n'y a que la syntaxe qui est différentes bien qu'il existe plus de finesse sur les droits , par exemple avant les droits d'écriture étaient liés a un global w , maintenant il faut ajouter les flags pour l'autorisation de création/effacement de fichier, bref w ne devient qu'une simple autorisation de modification
Je voudrais aussi mieux comprendre les rôles puis faire fonctionner correctement l'héritage des regles car cela a encore été affiné , genre pppd lances un script dans ip-up.d et a le droit de le faire , mais si toi tu le lances tout seul bah c'est DTC
edit : dans le mode learning  avec le 2.x c'est toi qui précise le fichier de log donc tu peux le mettre ou tu veux , pas forcément dans /var

 
tout faux.
 
j'ecoutes assidument, notement pour grsec. Car c un detail que je peux demander d'appliquer au techos que je fais bosser sur les briques de bases (Os linux)
 
par contre toi tu fais bcp de vent et en matiere de secu ...
t'as du taf .
 
 
 

n'oubliez de mettre ds le cron le verificateur de rootkit (chkrootkit).
 
de ce coté la mdk, avec msec , se sert des fichiers .diff : c redoutable car la moindre modif systeme (port ouvert etc ...) est  loguée(dark peut temoigner il a bosser dessus)

on a le droit d'etre tranquille pour discuter ?

 
en même temps moi c'est pas mon boulot    
et quand je t'entends dire que tu as la responsabilité d'une équipe de techniciens ça me ... hmmmm ... y-a pas de mot, rien ne vaut un bon vieux smiley bien parlant comme il faut :    
 
 

et surtout n'y regarde pas par toi meme, ca risque d'etre fatiguant

le topic  
 
j'avais pas tilté que c'était parti en live.
 
Ca commence par dire "wéé la sécu pour nous faut pas pousser, on va pas se faire hacker nos docs" et on termine sur grsec      
 
Bon au final ça a donné quoi ?
Il a appliqué une pette politique de sécurité ou juste corrigé ses qqs règles qui vont pas changer gd chose à sa situation de départ  ?

j'etait parti pour aider , je me suis, une fois de plus, fait emmerder.  
 
alors j'espere qu'il a miis autre chose que c regle ultra basique QUE tt le monde peut lire ds n'importe quel tuto de base su iptables ... (je lui jetes pas la pierre , mais l'encourag juste à mettre un VRAI firewall ou plutot des distro. reellement secure et etudiés pour (MNF, IPCOP, E-SMEETH , CLARKCONNECT)

mais t'as pas un peu fini de dire des énormités ...
tu ne pourrais pas te  contenter de répondre à sa question qui était ( c'est le titre du topic hein .. )
de savoir si ses règles iptables étaient correctes ou non .c'est *tout*  
en ce qui concerne le terme  de vrai firewall ( car j'ai la nette impression que nous n'avons pas la mème définition à ce sujet ) ... tu lui conseilles de mettre une soit disante distrib 'secure' (tiens c'est quoi sécure ? tu branches & ca fonctionne ? meme plus besoin de passer derriere .. )  & pourtant il ne te viendrais meme pas a l'idée que pf ( & donc freebsd/openbsd ) serait plus approrié dans ce cas car il semblerait que le réglage soit a l'heure actuelle plus fin dans ces distributions ...mais non faut croire que cela te passe par dessus la tête ce genre de détails ...

 
1 - deja, tu te calmes.
 
2 - Oui un NetScreen de base c HYPER secure : tu branches et tout y est.
http://www.firewall-technology.co. [...] 08_204.pdf 8124£ (on pose ca chez  nos clients, car c le must, les bridge ca roxxe))
 
3 - Oui une Ipcop tu branches et tout y est (IDS-CACHE-VERIF LOG-ANALYSE TRAFFIC-FILTRAGE DE FLUX) : mon conseil pour clockover.
 
4 - une OpenBSD c'est pas : tu install (j'ai fais l'install 4 fois deja) et ca marche , il faut faire du pf donc pas approprié à clockover.
.. essaies de l'installer aprés TU causeras.

 
Rien de ce que tu dis n'est approprié à clockover.
Il a un PC perso, sous linux, protégé par un netfilter. Si on suppose que tout est à jour, ses chances de se faire pirater sont... nulles.

moarf grillé

putain on s'en branle des netscreen (et que tu poses ça chez tes clients), de checkpoints ou d'ipcop ... La on parle d'une utilisation perso d'un gars avec un pc perso... Il n'a surement pas envie de mettre une dmz ou autre, il demandait juste un avis.

il veut ca :
 
Dixit clockover :

 
Alors c pas avec 20 regles que tout le monde sait contourner qu'il va protéger son serveur 24/24 7/7.
 
Sinon ca s'appelle un station de travail ..et merde.

 
tu contournes comment une policy drop par défaut toi ?
ca m'interresse la
(sachant bien sur que tu as correctement configuré tes applis sur les ports que tu auras éventuellement ouverts ..)
 
edit: on rajoute le quote pour le futur

ce troll !!
 
j'ai manqué ça

 
ben pour le particuler, en general, il appelle serveur son pc perso, donc workstation, qui a un serveur ftp ou web... Faut pas etre aussi pointilleux. Ah pardon, tu fais de la prod toi, c'est vrai, dsl

 
Si. Tu pourrais nous montrer comment tu "contournes" des règles d'un netfilter à jour ?

 
par derriere voyons

   
ca doit faire mal quand meme hein  

 
ça depend si c'est un habitué ou pas

par une trame icmp avec flag en Christamas tree, une autre question ?
Ou encore un Dos recuperer ici http://www.securityfocus.com/bid/vendor/
 
y'en a des pages ... mais si ca aussi tu veux pas le voir : libre a toi camarade.
 
jedit : je t'aide; http://www.securityfocus.com/bid/8233

bah t as l habitude il me semble

mais euh tu sais qu'il y a des gens qui travaillent pour sortir les correctifs et que peut etre le monsieur est à jour à ce niveau la ou que netfilter sait comment résoudre ce probleme

le Xmas je l arrete en 1 ligne ds la conf de mon firewall

clic sur le site on verra si tu stop le reste ....  
 
en clair, toi le legume, tu prétends bloquer avec tes pauvres regles les différents DoS (kernel) trouver par un hacker.

je ne suis pas jul- bourdel

dis moi ? tu lis les liens que tu pastes ?

"De l'interêt d'avoir une salle serveur dans son garage pour proteger son cv - Tome 42", par Jamiroq, édition Bidon

Mon amis, fioul, je te postes ici un exemple de firewall (nul, ya que règles). Pourrais tu avoir l'obligeance de me donner la marche a suivre pour |-|4><><0|23|2 la bete ?
D'avance, merci.
 

 
note: j'ai pas testé, c'est pour l'exemple hein

il n'y a pas beaucoup de failles il semblerait que ton netfilter ou autre meme bien configuré puisse proteger, genres les faille des forum ou de citrix sous XP... Mais je n'ai fait que survoler la premiere page de la liste

 
jamiroq lui il arrête les méchants avec sa simple volonté. Prosternez vous !

boulet

non tu n'as pas suivi, avec un netscreen il les arrete... Ah la la personne ne suit ici

meme pas lui