Optimisation de firewall et vous vous utilisez koi ? - Installation - Linux et OS Alternatifs
Marsh Posté le 02-05-2003 à 19:04:44
i
ptables -A INPUT -i ppp0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT |
tout ce qui arrive sur ta passerelle, en provenance du Web, sur un port TCP/IP > 1024, venant d'un port > 1024 et concernant une connexion établie est accepté.
iptables -A OUTPUT -o ppp0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT |
idem sauf que c'est qui sort de ta passerelle et qu'on accepte en plus les connexions liées (c'est à dire en gros ouverte par une autre connexion).
pour + de détails :
http://christian.caleca.free.fr rubrique netfilter
Marsh Posté le 02-05-2003 à 19:12:16
il te manque la parade a pas mal d'attaque mon coco !!!
Marsh Posté le 02-05-2003 à 19:15:01
jamiroq a écrit : il te manque la parade a pas mal d'attaque mon coco !!! |
Ben expliques lui plutot que de critiquer de façon aussi stérile ...
Sois un peu constructif pour une fois ...
Marsh Posté le 02-05-2003 à 19:15:10
jamiroq a écrit : il te manque la parade a pas mal d'attaque mon coco !!! |
je pense que c'est pour ça qu'il demande l'aide
Marsh Posté le 02-05-2003 à 19:21:59
jamiroq a écrit : il te manque la parade a pas mal d'attaque mon coco !!! |
merci de le dire ! mais je le savait déjà ! ce que je cherche maintenant c'est améliorer ce script, sinon j'aurais pas ouvert ce topic
Marsh Posté le 02-05-2003 à 19:30:50
SteF_DOBERMANN a écrit : |
je vais te donner un petit indice ..au lieu de te peter la tete a avaler la synthaxe de iptables qui va chger ds 1 an ou deux avec un nouveau truc .... apprends les concepts c plus pro : Fwbuilder est ton amis !!!
en + il propose un gui emprunter au meilleur fwall professionel , alors que demander de plus !!
http://www.fwbuilder.org/
Marsh Posté le 02-05-2003 à 19:33:30
Mjules a écrit : i
|
merci pour la definition, mais est-ce utile pour faire de l'irc du jeu en rézo, pour les PC derriére celui-ci.
je rappelle que ce PC, ne fait rien d'autre que du serveur ftp web et ssh, plutard j'utiliserais aussi tomcat4 mais plus tard
Marsh Posté le 02-05-2003 à 19:34:50
SteF_DOBERMANN a écrit : |
Firewall Builder is multi-platform firewall configuration and
management tool. It consists of a GUI and set of policy compilers for various firewall platforms. Firewall Builder uses object-oriented approach, it helps administrator maintain a database of network objects and allows policy editing using simple drag-and-drop operations. Firewall Builder currently supports iptables, ipfilter, OpenBSD PF and Cisco PIX.
... tu vas halluciner la facilité de manipulation des paquet s irc et consor compris !!
Marsh Posté le 02-05-2003 à 19:43:00
dsl mais j'ai pas acces au site ! j'ai un petit soucis avec mon firewall ou avec mes route !
Marsh Posté le 02-05-2003 à 19:44:25
ReplyMarsh Posté le 02-05-2003 à 21:21:00
voila le message que j'ai
Citation : |
Marsh Posté le 02-05-2003 à 21:48:49
ra la la, je suis une quiche pour compiler un truc !
vous avez pas un truc en ligne ? ou un script deja tout fait ?
edit :j'ai qu'une debian sans rien du tout !
Marsh Posté le 02-05-2003 à 23:20:59
j'ai trouvé ca :
http://monmotha.mplug.org/~monmoth [...] 2.3.8-pre9
vous en pensez koi ?
Marsh Posté le 02-05-2003 à 23:25:00
je sais pas mais pour abrandre en profondeur je trouve qu il est mieux de faire soi meme tes sripts iptables (et les principes des firewalls pour bien les connaitres faut lire les rfc sur le net de plus tu conneras aussi bien et mieux qu avaec firebuilder)
en plus apres pour integrer du qos c plus facile qd meme
Marsh Posté le 02-05-2003 à 23:26:13
GUG a écrit : je sais pas mais pour abrandre en profondeur je trouve qu il est mieux de faire soi meme tes sripts iptables (et les principes des firewalls pour bien les connaitres faut lire les rfc sur le net de plus tu conneras aussi bien et mieux qu avaec firebuilder) |
as tu utilisé fwbuilder ?
Marsh Posté le 02-05-2003 à 23:27:03
alors tu aurais koi pour amélioré le mien ?
Marsh Posté le 02-05-2003 à 23:43:50
jamiroq tu pourrais me générer un script avec fwbuilder ?
Marsh Posté le 03-05-2003 à 00:38:32
SteF_DOBERMANN a écrit : jamiroq tu pourrais me générer un script avec fwbuilder ? |
donne t'as config , tes interfaces , tes lan et host et l'ip de la gateway
Marsh Posté le 03-05-2003 à 01:08:39
ip gateway : 192.168.0.13
ppp0 (eth0) => internet
eth1 => reseau local (192.168.0.0)
serveur web, ftp sur le firewall qui est aussi la gateway
Marsh Posté le 03-05-2003 à 01:10:53
jamiroq a écrit : il te manque la parade a pas mal d'attaque mon coco !!! |
toujours à faire le malin celui là
Marsh Posté le 03-05-2003 à 01:25:47
udok a écrit : |
attends t'as vu son script !!!
je vois pas ou je fais le malin a part le prevenir ... mais bon je suis sur osa ! ah oui c vrai ...
Marsh Posté le 03-05-2003 à 01:27:02
SteF_DOBERMANN a écrit : ip gateway : 192.168.0.13 |
ok je te fais ca demain A++ ( ss mdk 9.1)
en fait ca te fera un scritp iptables t'auras plus qu'a faire sh script...
Marsh Posté le 03-05-2003 à 01:39:14
Citation : ok je te fais ca demain A++ ( ss mdk 9.1) |
oué, c ce que j'ai lu, et je doit dir que ca a fait vraiment pencher la balance pour que je l'installe. Je croyais que ct un truc à la crosoft (propriaitaire mais juste au niveau des scripts => obligation d'avoir le soft pour faire tourner les script ) mais la c vrai que c pas mal (comme ca je peu l'installer sur une autre Debian (VMware) est c bon, pas de fichier superflux sur mon server )
Je te remercie quand meme et je regarderais ton script avec grand interet (le temps de comprendre le fonctionnement de fwbuilder)
Marsh Posté le 03-05-2003 à 02:39:25
Code :
|
CF : http://easyfwgen.morizot.net/
Vais me coucher moi ...
Marsh Posté le 03-05-2003 à 11:48:17
merci pour ton post, jolie script beaucoup de commantaires !
edit : en plus c un script php !
mais j'ai fini d'installer gnome hier soir (3h10) et fwbuilder est vraiment beau! par contre pour le configurer je cherche mais je crois avoir trouvé ...
wait & see ....
Marsh Posté le 03-05-2003 à 13:15:18
SteF_DOBERMANN a écrit : merci pour ton post, jolie script beaucoup de commantaires ! |
li les tuto ils sont super bien fait .... et hyper rapide !!
Marsh Posté le 03-05-2003 à 13:23:35
ok, mais l'anglais et moi on est pas trop pote, si tu voi ce que je dir ...
Marsh Posté le 03-05-2003 à 14:06:01
SteF_DOBERMANN a écrit : ok, mais l'anglais et moi on est pas trop pote, si tu voi ce que je dir ... |
files moi ton mail je t'envoie le fichier de ma stratégie fwbuilder (*.xml) ... avec sa version compilé !!
Marsh Posté le 02-05-2003 à 18:55:40
voici mon firewall :
start () {
#on degage tous
iptables -F
iptables -F INPUT
iptables -F OUTPUT
iptables -F FORWARD
iptables -X
iptables -t nat -F
iptables -t nat -X
iptables -t mangle -F
iptables -t mangle -X
#police par defaut DROP
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
#echo "[Activation de la passerelle]"
echo 1 > /proc/sys/net/ipv4/ip_forward
#test
echo 0 > /proc/sys/net/ipv4/tcp_ecn
# pour le localhost c obligatoire !
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT
#pour accepter tous ce qui passe sur le rezo
iptables -A INPUT -s 192.168.0.0/24 -j ACCEPT
iptables -A OUTPUT -d 192.168.0.0/24 -j ACCEPT
iptables -A FORWARD -s 192.168.0.0/24 -o ppp0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -d 192.168.0.0/24 -i ppp0 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
#pour accepter le partage de connexion
iptables -A POSTROUTING -t nat -o ppp0 -j MASQUERADE
#pour voir
iptables -A OUTPUT -o ppp0 -p icmp --icmp-type ping -j ACCEPT
#DNS OK
iptables -A INPUT -i ppp0 --protocol udp --source-port 53 -j ACCEPT
iptables -A OUTPUT -o ppp0 --protocol udp --destination-port 53 -j ACCEPT
#pour le serveur web
#iptables -A INPUT -i ppp0 -p TCP --dport 80 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
#iptables -A OUTPUT -o ppp0 -p TCP --sport 80 -m state --state RELATED,ESTABLISHED -j ACCEPT
#SSH autorisé depuis internet
#iptables -A INPUT -i ppp0 -p tcp --dport 22 -m state --state NEW,RELATED,ESTABLISHED -j ACCEPT
#iptables -A OUTPUT -o ppp0 -p tcp --sport 22 -m state --state RELATED,ESTABLISHED -j ACCEPT
#pour accepter le FTP sur mon rezo local
modprobe ip_conntrack_ftp
modprobe ip_nat_ftp
iptables -A INPUT -i ppp0 -p tcp --sport 21 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --dport 21 -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i ppp0 -p tcp --sport 20 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --dport 20 -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -i ppp0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT
LOG_FLOOD="2/s"
#regle qui log les packets et les drop
iptables -N LDROP
iptables -A LDROP -p tcp --dport 137:139 -j DROP
iptables -A LDROP -p udp --dport 137:139 -j DROP
iptables -A LDROP -p tcp -m limit --limit $LOG_FLOOD -j LOG --log-level 6 --log-prefix '[IPTABLES TCP Dropped] '
iptables -A LDROP -p udp -m limit --limit $LOG_FLOOD -j LOG --log-level 6 --log-prefix '[IPTABLES UDP Dropped] '
iptables -A LDROP -p icmp -m limit --limit $LOG_FLOOD -j LOG --log-level 6 --log-prefix '[IPTABLES ICMP Dropped] '
iptables -A LDROP -f -m limit --limit $LOG_FLOOD -j LOG --log-level 6 --log-prefix '[IPTABLES FRAGMENT Dropped] '
iptables -A LDROP -j DROP
#activer les log
iptables -A FORWARD -j LDROP
iptables -A INPUT -j LDROP
iptables -A OUTPUT -j LDROP
echo "régle appliqué"
}
pouvais vous me dire à quoi correspond :
iptables -A INPUT -i ppp0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -o ppp0 -p tcp --sport 1024:65535 --dport 1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT
merci d'avance !
Message édité par stef_dobermann le 02-05-2003 à 22:32:54
---------------
Tout à commencé par un rêve...