le but est de monter le firewall principal d'une PME avec une DMZ hebergeant 3 serveurs (mail et proxy (bon actuellement il est sur la MNF) + web !!)
 
pour ceux que ca interesse , j'ai deja reussi a avoir l'accés web ..mais bon c pas tip top ..vu le peu de doc disponible.
 
Par contre mes regles sont ..pas bien affutée !!
 
Pour les regles par defaut:
 
1  lan all ACCEPT    
2  dmz all REJECT info    
3  fw all ACCEPT info   = par defaut elle est a REJECT
4  wan all DROP info    
5  all all ACCEPT info = par defaut elle est a REJECT
 
Pour les regles d'exceptions :
 
1  ACCEPT fw wan tcp+udp 53    
2  ACCEPT dmz wan udp 53    
3  ACCEPT lan wan udp 53    
4  REJECT wan fw tcp 113    
5  ACCEPT lan fw tcp 22    
6  ACCEPT lan fw tcp 8443    
7  ACCEPT fw lan icmp 8    
8  ACCEPT lan fw icmp 8    
9  ACCEPT lan dmz icmp 8    
10  ACCEPT dmz lan icmp 8    
11  ACCEPT dmz fw icmp 8    
12  ACCEPT fw dmz icmp 8    
13  ACCEPT lan wan tcp pop3    
14  ACCEPT lan wan tcp smtp    
15  ACCEPT lan wan tcp http    
16  ACCEPT lan wan tcp https    
17  ACCEPT lan wan tcp ssh    
18  ACCEPT lan wan tcp ftp    
19  ACCEPT lan wan tcp nntp    
20  ACCEPT fw wan udp ntp    
21  ACCEPT lan wan tcp imap    
22  ACCEPT fw wan:20022 tcp ftp    
23  ACCEPT lan fw udp 53    
24  ACCEPT lan fw::3328 tcp www all    
25  ACCEPT fw wan tcp www  
 
 
donc c pas tres beau ... mais ca permet de poster !!! suR OSA

j'allais poster un topic du meme style... les réponses m'intéressent beaucoup.

c'est quoi MNF  ?

mandrake(8.2) Multi Network Firewall
 
autrement dit si tu ne veux pas faire de la gestion de DMZ ...prend une distro style rh 7.3 ou mdk 9.0. ou debian ou .... celle de ton feeling !!

je comprand pas j'ai une mdk 9 et j'ai une dmz sans avoir la mnf !!?

je viens d'installer MNF et j'arrive pas à me logger dans l'interface web d'adminstration.
 
Le mot de passe est bon mais il me dit : "No Sesion Found : Coockies Not Found".
 
j'ai essayé en mettant le niveau de sécurité des coockies au mini mais ça change rien...
 
une idée ?

 
as tu bien mis :
 
https://ip_firewall_mnf:port/
 
?

oui oui, j'arrive au menu de log de l'interface d'admin et lorsque je mets le log et le pass (le log est 'admin', comme indiqué dans la doc), il me renvoie sur le meme menu de log avec le petit text 'No Session Found : Coockies not found'.

je viens de passer une partie de ma journée là-dessus et j'ai toujours pas trouvé.  
 
Putain, je suis pas doué, quand même...
Le pire, c'est que je suis sur que c'est un truc de merde qui me bloque.

Bon, j'ai trouvé une solution : utiliser mozilla.
 
Apparemment, y'a un soucis avec es cookies dans IE.
 
J'arrive maintenant à me logger dans l'interface d'admin. Il me reste à comprendre le paramétrage de tout ça (le réseau n'étant pas ma spécialité), mais ça a l'air très bien foutu.

t es un chef.    
++

tu en est ou pitounet sur la MNF ?
 
moi ca avance mais c chaud et pourtant en terme d'IP et secu. je connais pas mal de trucs ..mais elle a son propre vocabulaire donc .. pas evident ..la je poste a travers elle !!

Au fait Jamirox, la MNF, l'as-tu installé avec les modules de la carte Bewan compilés ?
 
De toute façon je vais suivre ce topic, car pour le moment mon proxy est une simple MDK 9.0 avec prélude, psad sur laquelle j'exécute régulièrement un chkrootkit. Mais j'ai l'intention de la remplacer par MNF.
 
Je vous lirai avec attention donc.

 
non, j'ai reussi a choper une modem adsl ethernet ...
Mais j'avais des pb avec une de mes cartes reseau .la c ok !!!
 
Par contre ce qui me gonfle grave, c les interfaces et l'ergonomie de la mnf .... ils peuvent pas s'inspirer de chekcpoint ou watchguard chez mandrake ???
 
C fouilli !!!! , le pire c que j'ai bien les ports pop et smtp ouvert du lan vers le wan pour ma messagerie mais ..... ca passe point !!!!
 
en clair si tu connait la theorie du routage et de la sécu .. ben faut s'adapter qd tu bascules sur une soit disant distrib firewall ....
 
cette apres m : j'ai testé IPCop .... jamais vu un truc aussi mal fichu !!!!! ... je la laisse a ceux qui font du partage de connect pour la maison ....
 
Je pense que le plus robuste est le plus secure c de se monter un firewall avec fwbuilder ou de taper ds le code iptables ..car le reste ... me fait bien rire !!!

j'ai pas avancé aujourd'hui puisque j'ai du bosser sur autre chose.
 
De toute façon, c'est pas évident vu que pour avancer, il faudrait que je débranche l'installation internet de la boite pour faire des tests et que c'est pas trop possible la journée. Je crois que ça va se terminer en une soirée passé au boulot pour mettre ça en place.
 
En fait, j'ai une autre question qui me vient à l'esprit : j'ai installé MNF sur un PC Bi P3 933MhZ avec 2Go de RAM (désolé, mais c'est ce que j'avais de moins puissant au taf ). Pour l'instant, on n'a qu'une malheureuse connection ADSL mais on va avoir d'ici peu une bonne grosse LS à 4Mb/s. Il faudrait là dessus installer un VPN et une DMZ et rendre internet acessible à moins d'une dizaine de machines. D'après vous, ça va suffire comme machine pour analyser tout le trafic et gérer le cryptage du VPN (le VPN ne va pas etre énormément utilisé) ?

bon t'arretes de nous faire baver la !!!    
 
ma MNF je l'ai installé sur un P166 - 128 Mo de ram et 2go de hd 5400tr/mn ..donc avec un bipro et 2 go de ram .... ben CA devrait allez .....    
 
si tu veux tu peux faire du VPN avec ta MNF sans pb !!!  
 
par contre je te mets bien en garde : avec une MNF on est pas en face d'une solution Pro de haut niveau !!!(style watchguard ou checkpoint F1) ...que ce soit clair ?

 
pour info tu as une DMZ avec ta mdk 9.0 ?
fais gaffes : bewan et MNF ca va etre tres chaud ...la mnf est tres light en terme de matos de compil, de plus elle est verouillée de partout ....
 
tips : compiles sur une 8.2 et importes les modules ainsi crée ... ca peut peut etre passé !!

Merci de l'info, mais le proxy c'est à mon boulot et c'est un vieux Pention 133 avec deux cartes pci 3com dont l'une est sur le cable.
Pas de problème de compilation donc.
 
Mais tu fais bien de m'avertir, que je m'assure que les cartes 3com aient leurs modules dans la mnf.

 
en terme de carte reseau ethernet elle a un vaste panel. tu devrais etre tranquile.

 
 
 
Rooooooooooof, si on peut plus rigoler un peu, hein
 
 
Plus sérieusement : Peux-tu me dire ce qui diffère des autres solutions plus "pro"  ?
 
En fait, une boite est venue nous faire une offre pour l'installation d'un firewall (un sonicwall 230, si j'ai bonne mémoire) mais bon, entre l'achat de la machine, l'installation et tout, y'en a pour 6000?, alors pour une petite boite qui a grand besoin d'une grosse connexion avec seulement quelques PC derrière le firewall et un petit VPN, ça fait cher je trouve.
Du coup, j'ai pris mon courage à deux mains et j'ai commencé à me renseigner là-dessus. C'est un vrai challenge parce que j'ai plus touché à linux depuis une expérience (intéressante, d'ailleurs), y'a 3 ou 4 ans.
 
Vous en pensez quoi ?

la solution sans emmerde, facile a configurer puissante : Watchguard (firebox II ..ou l'equivalent, --chez eux ne prend pas le haut de gamme car c cher-- ... dessous le capot y'a du linux et c hyper puissant !!)
 
(j'ai pratiqué pendant 2 ans ... on fait tout avec .et facilement , faut juste savoir ce qu'on veut faire !!)
 
Sinon tu as du temps pour configurer ... fwbuilder est gratuit (cree des regles iptables), la mnf pas trop mal mais un peu chiante au niveau regle ...
 
ou alors si tu es courageux ... iptables a la mimine    
 
.... mais saches que   tu n'arriveras pas a la cheville d'une solution hardware pensée uninquement pour ca : les mecs de checkpoint ou watchguard ,la sécu ils ne font que ca 24/24 7/7 donc ... script iptables pour une boite ... moi j'oublies !!!    
 
reste a tester rudement la mnf ... car je ne suis pas sure qu'elle peut aller bienloin ..spoofing, syn attack, ver applicatif etc ... car la y'a des methodes d'attaque a la pelle et completement dingues , les parés via iptables meme pas en tant qu'exploitant t'y penses !!!
 
c juste mon avis !!!

Merci pour ces infos, je vais me pencher là dessus dès demain.
 
mais peux-tu me donner un peut plsu de détails sur les différence concrètes entre un checkpoint (qui semble etre LA référence) et la MNF par exemple. je ne suis pas du tout un spécialiste du réseau mais pour moi, lorsqu'un port est fermé, il est fermé et c'est tout.

Tu feras tourner tout ca sans pb je pense sur cette machine là ... (euphémisme est un euphémisme pour désigner un euphémisme dans ce cas ...   ) ...  
 

 
(tes un couche tard toi   , idem !!! cause auto formation )
 
aille check point je connais pas !!  
Mais la difference entre un watchguard (que je connais tres bien) et iptables ou autres packet filtering ...
 
1 - l'ergonomie pour gerer le truc : y'a pas photo pour un exploitant, en trois clic tu crées une regle ss watchguard (ou checkpoint F1) alors que ss iptables il faut se palucher une 10 aine de ligne pour arriver a la meme chose ...
 
que les gars qui creent les firewall se cassent la tete avec les synthaxe + les paradees deshack possible c un fait , que ce soit toi (ou moi) en tant qu'exploitant c deja - tolerable.
 
(NB : faut pas rever ss watchguard tu as ipchain et recement iptables ss le capot)
 
2 - en creant ta regles pour permettre un traffic pop3 par exemple , tu vas commettre des erreurs !!! Et oui car si c'etait aussi simple que ca se saurait .... ss watchguard par ex. la creation d'une ouverture de port pop3 s'accompagne de la creation d'une paluché de regles ipchains ... te protegeant contre plein d'attaque lié à ce protocole !!!! Mais ca avec ton script tu ne sauras pas qu'elles existent (car faut etre grd expert en sécu) d'une part et de l'autre encore faudrait il savoir les coder efficacement!!!!
 
3 - le fait d'ouvrir un port ou le fermet ne suffit pas helas !!! voici deux ex. que je connais :
 
ex1: un scann de port tout con, comment vas tu empecher cela avec script ? (bon courage avec iptables ........ )
 
ex2: une attaque SYN ACK, l'attaquant t'envoi un paquet IP contenant le flag SYN, pour faire croire que la connexion a deja été etablie ... vas y code le ss iptables   et par la meme te pompe un max d'info ....
 
ex2: des attaques via http (port 80 ouvert comme d'hab pour un site web ....) ...la si ton firewall n'a pas de fonction defiltrage de contenu c quequette !!!  
 
alors bon tu vois .... les raisons y'en a des milliers !! et encore je connais pas grd chose en sécu , juste les bases pour l'instant !!
 
je te conseille le watchguard firebox II (pour le connaitre et l'avoir mis en place et gerer pendant 2 ans : une seule attaque iis a passé en 2ans ...mais la c plus la faute à iis et moi qui ne l'avait pas encore mis a jour !!!)
 
check point a l'air puissant !!
 
surtout ne prend pas de firewall  Windows : c de la pure merde !!... la pile ip des oyaux linux ou unix sont plus robuste. Mais une saturation de pile ip est vite arrivé ....  
 
donc ...

Euh comment dire ... tout ca est réalisable avec netfilter/iptables ...  

je n'ai qu'une chose à dire : merci    
 
 
(oui, je suis un couche tard mais bon, j'ai la chance de commencer le boulot vers 10h)
 
 

ouaih ben moi j'ai plus la chance de le commencer  du tout ....

désolé pour toi.  
Perso, je suis en train de commencer dans une nouvelle boite et j'ai meme pas encore de contrat.  

 
bon recadrons le debat ..MNF

Est ce que vous etes allé faire un tour par là ?  

 
ou ca la ?
 
(bien , ton lien sur netfilter ....donc le routage est partie integrante du noyau et du filtrage : il y a donc synchro !!)

Ben, cliques sur le "là" ...
Disons que netfilter + routage + Qos forment une chaine pour le traitement des paquets ....

 
effectivement c le lien caché pour allez sur le site pirate ftp de .... fwbuilder !!!
 
je connais un peu ce produit, ce sera lui je pense l'alternative a a la mnf si je m'en sort pas .

le pile tcp/ip des noyaux *BSD, est bcp plus "clean" que celle de linux ..... (connection countrack nottement)
En plus vu comment les failles sont exploites de nos jours, mieux vaut une distrib qui utilise des src (avec md5) a compiler plutot que des binaires (trop facilement exploitable lors d'une faille).
La syntaxe de pf/ipf est plus comprehensible pour le commun des mortels par rapport a netfilter.
De plus, si tu fait toi meme ton script (faut en chier, je suis d'accord), toi seul (si tu diffuses pas ton code) connaitras les failles possibles de ton FW, alors que avec un script du net, tout le monde les connait quand il y en a.
Bref, c'etait mon avis perso sur la question ....

je suis d'accord, mais perso j'ai pas la pretention de pouvoir proteger un business tout entier  avec mes compétences en sécu (meme si elles sont deja conséquentes)...  
 
Chez watchguard et checkpoint on fait ca tt les jours. c aussi mon avis perso.