 |
||
| ||
| |||||
| Dernière réponse | |
|---|---|
| Sujet : Serveur linux de partage de connexion ADSL pour winXP | |
| zytrahus5 | Un petit UP (:bounce:) pour ma recherche d'infos sur ClarkConnect...
A+ |
| Aperçu |
|---|
| Vue Rapide de la discussion |
|---|
| zytrahus5 | Un petit UP (:bounce:) pour ma recherche d'infos sur ClarkConnect...
A+ |
| zytrahus5 | :bounce: UP !!!
En fait, personne ne connaitrait SME ou clarkconnect ? A+ |
| Dark_Schneider | plus de souplesse ( si ce n'est pas juste un firewall ton truc )
par contre si tu veux juste un firewall -> distro spécialisés, en espérant que le suivi de sécu est bien fait |
| zytrahus5 | oui mais quel avantage par rapport à SME ou clarkconnect ?
surtout si je n'ai pas besoin d'autre chose qu'une regle de partage de routage et de protection ? |
| Dark_Schneider | oui et non
par exemple mdk avec Bastille c'est simple, dans un fichier tu mets les ports à bloquer, ceux à autoriser et hop il fait les règles ( http://www.bastille-linux.org/ ) ou ( http://www.shorewall.net/ ) ou le wizard de mdk ou knetfilter ou d'autres projets : http://freshmeat.net/browse/151/?topic_id=151 |
| zytrahus5 | merci pour tes complements d'info !!!
je suis allé acheté en presse le dernier Linux loader, je sais pas si c'est un bon mag mais dedans il parle d'une distrib qui fera apparemment l'affaire : SME elle prend 250 Mo et est dédiée à un poste serveur... est ce que ça pourrait convenir ? est ce que c'est plus simple que la solution MANDRAKE + IPTABLE ? je suis un peu perdu... encore merci ! |
| sneakz | La sécurité d'un réseau repose sur ce que l'on appelle des règles.
Ces règles sont définies par l'administrateur réseau en l'occurence toi. Ces règles (de façon schématique)doivent définir ce qui doit entrer sur le réseau local en provenance du réseau internet et ce qui ne doit pas entrer. Ces règles (de façon schématique) doivent définir ce qui doit sortir sur le réseau internet en provenance du réseau local et de la machine passerelle (NAT/firewall) et ce qui ne doit pas sortir. Ces règles sont définies dans le script présenté plus haut et elles s'appuyent sur IPTABLES. Ces règles sont les bases indispensables de la sécurité du réseau. Elles servent à filtrer les paquets entrants et sortants selon les différents protocoles utilisés pour acheminer les données jusqu'à l'hôte de destination. Pour reprendre ton expression, c'est effectivement un firewall fait maison. Snort est un outil de détection d'intrusion (IDS). Il capture le traffic réseau et le compare à une base de données. Si une attaque est détectée, l'IDS déclenchera auomatiquement des actions programmée. Ce système permet de constater des comportements anormaux sur le traffic qui circule et en cherchant ensuite des signatures d'attaques connues comme des débordements de tampons ou bien des scans de ports. Snort utilise également un langage simple et léger de description de règles qui est flexible et assez puissant. Portsentry détecte les attaques de type "SCAN". Un scanner est en général employé par un administrateur réseau pour déceler des failles. Malheureusement un scanner furtif au main d'un hacker peut mettre en évidence ces mêmes trous de sécurité (cf. services tournant sur la machine). C'est ici que Portsentry intervient. Il bloque le scan et rend en quelque sorte aveugle l'attaquant. |
| zytrahus5 | en gros dans ce que j'ai compris à propos de IPTABLES, c'est que utilisé avec des scripts, cela permet de router des paquets entre le réseau local pour y diriger vers internet...
Mais le firewall est créé par ce sript c'est donc un firewall plus ou moins fait maison ? existe t il une autre solution pour le firewall qui soit compatible avec IPTABLES ? A+ |
| zytrahus5 | merci beaucoup pour votre aide !!!
est ce que IPTABLES est sur Mandrake 8.0 par defaut ? |
| cortex62 | Autre chose si tu est interessé, il existe des distributions spécialisées dans le genre (ipcop.org). Ca peut suffire dans un premier temps. |
| sneakz | Tu auras des pbs de Nat sur le proto h323 (VoIP) utilisé par netmeeting notamment.
Il faut que tu recompiles le noyau après l'avoir patché, que tu désinstalles le paquetage Iptables. Tu trouveras le patch à l'URL : http://roeder.goe.net/~koepi/newnat.html et la version iptables-1.2.6a à ré-installer. |
| sneakz | Pour ton firewall, je te conseille d'installer snort.
Pour contrer un scan de ports sur ta machine, veille à installer portsentry. Pour vérifier la sécurité de ton réseau, il est bon que tu installes Nessus (un utilitaire d'audit très efficace). |
| sneakz | Iptables dépend du noyau que tu utilises (> 2.4) sinon il te faudra utiliser ipchains.
Il faut que tu créés un script que tu lances. Voici un exemple : #!/bin/sh # # rc.firewall - Initial SIMPLE IP Firewall script for Linux 2.4.x and iptables # echo -e "\n\nLoading rc.firewall script ..\n" ########################################################################### # # 1. Configuration options. # ########################################################################### # # Local Area Network configuration. # LAN_IP="192.168.0.1" -> l'IP de ta machine servant de passerelle LAN_IP_RANGE="192.168.0.0/24" -> l'adressage de ton réseau LAN_BCAST_ADRESS="192.168.255.255" LAN_IFACE="eth0" REMOTE_IP="194.21.74.55" ################################################## ######################### # # Localhost Configuration. # LO_IFACE="lo" LO_IP="127.0.0.1" ################################################## ######################### # # Internet Configuration. # echo -e "Internet Configuration ..\n" INET_IP=`ifconfig 'ppp0' | grep 'inet adr' | awk '{print $2}' | sed -e 's/adr\://'` INET_IFACE="ppp0" echo "External interface: $INET_IP" echo "Internal interface: $LAN_IP" ########################################################################### # # IPTables Configuration. # IPTABLES="/usr/local/sbin/iptables" -> chemin eventuellement à modifier ################################################## ######################### # # 2. Module loading. # echo "Module Loading .." /sbin/depmod -a /sbin/modprobe ip_conntrack /sbin/modprobe ip_tables /sbin/modprobe iptable_filter /sbin/modprobe iptable_mangle /sbin/modprobe iptable_nat /sbin/modprobe ipt_LOG /sbin/modprobe ip_nat_ftp /sbin/modprobe -a -k -s -v ip_nat_h323 #/sbin/modprobe ipt_REJECT #/sbin/modprobe ipt_MASQUERADE #/sbin/modprobe ipt_owner /sbin/modprobe ip_conntrack_ftp /sbin/modprobe ip_conntrack_irc echo "Done loading modules" ########################################################################### # # 3. /proc set up. # echo "enabling forwarding .." echo "1" > /proc/sys/net/ipv4/ip_forward # # Dynamic IP users: # echo "enabling DynamicAddr .." echo "1" > /proc/sys/net/ipv4/ip_dynaddr ################################################## ######################### # INPUT, FORWARD and OUTPUT chains. # echo "Set policies." $IPTABLES -P INPUT DROP $IPTABLES -P OUTPUT DROP $IPTABLES -P FORWARD DROP $IPTABLES -t nat -F ############################################################################# # Create separate chains ############################################################################# $IPTABLES -N icmp_packets $IPTABLES -N tcp_packets $IPTABLES -N udpincoming_packets $IPTABLES -N allowed $IPTABLES -N bad_tcp_packets #### # bad_tcp_packets chain #### $IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j LOG \ --log-prefix "New not syn:" $IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j DROP # Do some checks for obviously spoofed IP's $IPTABLES -A bad_tcp_packets -i $INET_IFACE -s 192.168.0.0/16 -j DROP $IPTABLES -A bad_tcp_packets -i $INET_IFACE -s 10.0.0.0/8 -j DROP # Refuse packets claiming to be from a class B private Network $IPTABLES -A bad_tcp_packets -i $INET_IFACE -s 172.16.0.0/12 -j DROP #### # allowed rules #### $IPTABLES -A allowed -p TCP --syn -j ACCEPT $IPTABLES -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT $IPTABLES -A allowed -p TCP -j DROP #### # icmp_packets rules #### $IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 8 -j ACCEPT $IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 11 -j ACCEPT #### # tcp_packets rules #### $IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 21 -j allowed $IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 22 -j allowed $IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 80 -j allowed $IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 113 -j allowed #### # udpincoming_packets rules #### # nondocumented commenting out of these rules #$IPTABLES -A udpincoming_packets -p UDP -s 0/0 --source-port 53 -j ACCEPT #$IPTABLES -A udpincoming_packets -p UDP -s 0/0 --source-port 123 -j ACCEPT $IPTABLES -A udpincoming_packets -p UDP -s 0/0 --source-port 2074 -j ACCEPT $IPTABLES -A udpincoming_packets -p UDP -s 0/0 --source-port 4000 -j ACCEPT ############################################################################ # INPUT chain # # Bad TCP packets we don't want. ############################################################################ $IPTABLES -A INPUT -p tcp -j bad_tcp_packets #### # Rules for incoming packets from the internet. #### $IPTABLES -A INPUT -p TCP -i $INET_IFACE --dport 1719:1720 -j ACCEPT $IPTABLES -A INPUT -p UDP -i $INET_IFACE --dport 1719:1720 -j ACCEPT $IPTABLES -A INPUT -p ICMP -i $INET_IFACE -j icmp_packets $IPTABLES -A INPUT -p TCP -i $INET_IFACE -j tcp_packets $IPTABLES -A INPUT -p UDP -i $INET_IFACE -j udpincoming_packets #### # Rules for special networks not part of the Internet #### $IPTABLES -A INPUT -p ALL -i $LAN_IFACE -d $LAN_BCAST_ADRESS -j ACCEPT $IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LO_IP -j ACCEPT $IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LAN_IP -j ACCEPT $IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $INET_IP -j ACCEPT $IPTABLES -A INPUT -p ALL -i $LAN_IFACE -s $LAN_IP_RANGE -j ACCEPT $IPTABLES -A INPUT -p ALL -d $INET_IP -m state --state ESTABLISHED,RELATED \ -j ACCEPT $IPTABLES -A INPUT -m limit --limit 3/minute --limit-burst 3 -j LOG \ --log-level DEBUG --log-prefix "IPT INPUT packet died: " ############################################################################# # OUTPUT chain ############################################################################# # Bad TCP packets we don't want. $IPTABLES -A OUTPUT -p tcp -j bad_tcp_packets $IPTABLES -A OUTPUT -p udp -j ACCEPT #### # Special OUTPUT rules to decide which IP's to allow. #### $IPTABLES -A OUTPUT -p ALL -s $LO_IP -j ACCEPT $IPTABLES -A OUTPUT -p ALL -s $LAN_IP -j ACCEPT $IPTABLES -A OUTPUT -p ALL -s $INET_IP -j ACCEPT #### # Log weird packets that don't match the above. #### $IPTABLES -A OUTPUT -m limit --limit 3/minute --limit-burst 3 -j LOG \ --log-level DEBUG --log-prefix "IPT OUTPUT packet died: " ############################################################################# # POSTROUTING chain ############################################################################# $IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -s 192.168.0.0/24 -j MASQUERADE $IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -j SNAT --to-source $INET_IP ############################################################################# # PREROUTING chain ############################################################################# # Bad TCP packets we don't want. ############################################################################# # FORWARD chain ############################################################################# #### # Accept the packets we actually want to forward #### $IPTABLES -A FORWARD -i $LAN_IFACE -j ACCEPT $IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT $IPTABLES -A FORWARD -m limit --limit 3/minute --limit-burst 3 -j LOG \ --log-level DEBUG --log-prefix "IPT FORWARD packet died: " #### # Bad TCP packets we don't want. #### $IPTABLES -A FORWARD -p tcp -j bad_tcp_packets echo -e "\rc.firewall version done.\n" Si tu veux des compléments d'info. fait le moi savoir ! http://anonymity.tuxfamily.org/ |
| apolon34 |
|
| zytrahus5 | merci pour vos réponses, mais c'est pas évident à ce servir de IPTABLES...
en plus apparemment, il ne supporte pas plusieurs protocoles comme ICQ... ESt ce que vous connetriez un HOWTO en francais sur IPTABLES, parce que je m'embrouille un peu avec celui en version anglo... Merci A+ |
| Dark_Schneider | http://linux-wizard.tuxfamily.org/liens.html#reseau
ce type de partage sous linux s'apelle du NAT |
| apolon34 | dans ce cas: :fuck: |
| dacoincoin |
|
| apolon34 | si tu me dis a quoi ca sert exactement ouais |
| dacoincoin |
|
| apolon34 | moi je trouve pas ca bien clair |
| dacoincoin |
|
| apolon34 | c'est quoi ton bordel ? |
| dacoincoin |
|
| apolon34 |
|
| aurelboiss | Apolon34 t un peut pretentieu ou t'es tres fort ;) parce que iptables n'est pas tres simple enfin toi tu dois dire ca parce que c sur que si tu fais des regles de partage de net y'a pas besoin d'etre ingenieur lol mais pour un newb c pas tjs evident @++ |
| cassidy |
|
| apolon34 | fais le toi meme
iptables est super simple et c'est moins con que de pomper des trucs tout faits qui correspondent pas a tes besoins |
| awlex | Moi ca m'interresse, ou puis-je trouver ce script ? |
| cassidy | pour le partage/firewall c 'juste' une serie de regle iptable.
J'ai un script (ecrit par un pote) qui fait ca, si ca t'interesse... |
| niccco | tu as fait une recherche sur ce site car le sujet a deja ete aborde des 10enes
de fois alors cherche . sinon google est ton ami. www.nikauch.d2g.com/board/ ++ |
| zytrahus5 | salut, je voudrais monter un serveur de partage de connexion ADSL sous linux, et puis monter un firewall...
c'est pour partager une connexion pour 3 machines sous XP, le PC sous linux sera appelé à ne faire que ça toute la journée, donc pas besoin d'une grosse machine, mais juste d'un boitier très silencieux... lol Avez vous des conseils à me donner sur ce que je vais devoir utiliser ? (Samba, Firewall, etc...) merci pour vos conseils... A+ |
