* nat on $ext_if from $lan_net to any -> ($ext_if)
* nat on $ext_if from $dmz_net to any -> ($ext_if)
*
* #Rules for ftp proxy and dmz services
* #rdr on $int_if proto tcp from any to any port 21 -> 127.0.0.1 port 8021
* #rdr on $ext_if proto tcp from any port $dmz_services -> $dmz_net
* #rdr on $ext_if proto udp from any port 53 -> $dmz_net
* #rdr on $ext_if proto tcp from any port 53 -> $dmz_net
*
* ###############
* # filter rules#
* ###############
*
* #default deny
* block in all
* block out all
*
* #Loopback rule
* pass quick on lo0 all
*
* #antispoof rule
* antispoof quick for $int_if inet
* antispoof quick for $dmz_if inet
* block in log quick on $ext_if inet from <NoRoute> to any
* block in log quick on $ext_if inet from any to <NoRoute>
*
* #block IPv6
* block quick inet6
*
* #block from and to trusted network
* block drop in quick on $ext_if from $lan_net to any
* block drop out quick on $ext_if from any to $lan_net
* block drop in quick on $ext_if from $dmz_net to any
* block drop out quick on $ext_if from any to $dmz_net
*
* #Anti NMAP Rule
* block in log quick proto tcp flags FUP/WEUAPRSF
* block in log quick proto tcp flags WEUAPRSF/WEUAPRSF
* block in log quick proto tcp flags SRAFU/WEUAPRSF
* block in log quick proto tcp flags /WEUAPRSF
* block in log quick proto tcp flags SR/SR
* block in log quick proto tcp flags SF/SF
* block in log quick on $ext_if os NMAP
*
* #ssh rule for accessing the gateway
* pass in on $ext_if inet proto tcp from $taf_net to ($ext_if) port $tcp_services flags S/SA keep state
*
* #Fingerprint requested rule -> use only for testing purpose
* #pass in on $ext_if inet proto tcp from any to ($ext_if) port $tcp_services flags S/SA keep state
*
* #dmz rule
* pass in on $ext_if inet proto tcp from any to $dmz_net port $dmz_services
* pass in on $ext_if inet proto udp from any to $dmz_net port $dmz_services
*
* #Allow ICMP -> use only for debug purpose
* #pass in inet proto icmp all icmp-type $icmp_types keep state
*
* #Outgoing rule
*
* pass in on $int_if from $lan_net to any
* pass out on $int_if from any to $lan_net
* pass in on $dmz_if from $dmz_net to any
* pass out on $dmz_if from any to $dmz_net
*
* pass out on $ext_if proto tcp all modulate state flags S/SA
* pass out on $ext_if proto { udp, icmp } all keep state
*
* pass out on $ext_if from $lan_net to any keep state
Ces regles de filtrage restent assez basiques mais terriblement effciaces.
De plus elles vous permettent de fausser les reponses à l'OS fingerprint si vous activer l'option set block-policy return. il faut aussi activer 2 options dans sysctl.conf
Mais de toutes manières je doute que le créateur tout pissant de ce topic désire mon avis sur fwbuilder :o
Lapsus révélateur ? :whistle: :lol:
l0ky
Personnellement fwbuilder la GUI est ok par contre j'aime pas le script qu'il me génère derrière.
Sauf si ca a changé depuis que je l'ai testé (il y a 8 mois) [:klem3i1]
Mais de toutes manières je doute que le créateur tout pissant de ce topic désire mon avis sur fwbuilder :o
THRAK
fwbuilder c'est bien également pour commencer...
le mieux c'est de monter une box spécialisée pour filtrer ton réseau (genre une distro IpCop ou une Debian + de bonnes règles iptables). C'est léger, sécurisé et super-fiable
Brett_Sinclair
+1 firestarter est tres intuitif.
trictrac
c'est un peu dur ca au début.
Pour une machine perso, mieux vaut commencer avec firestarter qui est assez intuitif ...
black_lord
poster dans la bonne section pour commencer.
Mjules
netfilter/iptables et pf sont très bien
V3n0m66
Je vien de desactiver le firewall d'origine de xp pro sp2. Auparavant je n'utilisé pas de firewall, mais maintenant que j'ai une freebox j'ai peur d'etre plus vulnerable qu'avec mon ancien modem. Doit je mettre un firewall ? Et si oui pouvez vous me conseiller un firewall simple d'utilisation, et qui ne bloque pas le p2p (je sais c'est pas bien ;) ) Merci d'avance.
