Au collège où je bosse, j'utilise le script MonMotha pour mettre en place
le firewall (http://monmotha.mplug.org/) sur un serveur qui tourne sous
Linux 2.4 (donc netfilter/iptables)
Le pb est que ce script permet de définir uniquement des régles pour les
paquets venant de l'exterieur.
J'aimerais bloquer aussi certains paquets venant du reseau local (eth0 -
192.168.1.0/24).
Par défaut, il faut bloquer tout ce qui vient de eth0.
Puis, on laisse passer les requetes pour le serveur (192.168.1.1) sur
certains ports (tcp et/ou upd).
Il faut aussi laisser passer des requetes sur certains ports vers
l'exterieur (le device étant ippp0 - connexion ISDN).
Tout ça évidemment en full-state.
Qui peut m'aider au niveau de la syntaxe ?
Merci d'avance.
--
Nicolas BERNE - mailto:nicolas.berne@wanadoo.fr
HTML lesson #42: The only legitimate use of the greatly loathed <BLINK> tag.
Schroedinger's Cat is <BLINK>NOT</BLINK> dead.
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Eric D.
Nicolas BERNE wrote:
Bonjour à tous,
Au collège où je bosse, j'utilise le script MonMotha pour mettre en place le firewall (http://monmotha.mplug.org/) sur un serveur qui tourne sous Linux 2.4 (donc netfilter/iptables) Le pb est que ce script permet de définir uniquement des régles pour les paquets venant de l'exterieur. J'aimerais bloquer aussi certains paquets venant du reseau local (eth0 - 192.168.1.0/24). Par défaut, il faut bloquer tout ce qui vient de eth0. Puis, on laisse passer les requetes pour le serveur (192.168.1.1) sur certains ports (tcp et/ou upd). Il faut aussi laisser passer des requetes sur certains ports vers l'exterieur (le device étant ippp0 - connexion ISDN). Tout ça évidemment en full-state.
Qui peut m'aider au niveau de la syntaxe ?
Merci d'avance.
Salut,
J'utilise shorewall qui donne déja quelques règles prédéfinies assez restrictives et après il faut assouplir ...
-- Eric
Nicolas BERNE wrote:
Bonjour à tous,
Au collège où je bosse, j'utilise le script MonMotha pour mettre en place
le firewall (http://monmotha.mplug.org/) sur un serveur qui tourne sous
Linux 2.4 (donc netfilter/iptables)
Le pb est que ce script permet de définir uniquement des régles pour les
paquets venant de l'exterieur.
J'aimerais bloquer aussi certains paquets venant du reseau local (eth0 -
192.168.1.0/24).
Par défaut, il faut bloquer tout ce qui vient de eth0.
Puis, on laisse passer les requetes pour le serveur (192.168.1.1) sur
certains ports (tcp et/ou upd).
Il faut aussi laisser passer des requetes sur certains ports vers
l'exterieur (le device étant ippp0 - connexion ISDN).
Tout ça évidemment en full-state.
Qui peut m'aider au niveau de la syntaxe ?
Merci d'avance.
Salut,
J'utilise shorewall qui donne déja quelques règles prédéfinies assez
restrictives et après il faut assouplir ...
Au collège où je bosse, j'utilise le script MonMotha pour mettre en place le firewall (http://monmotha.mplug.org/) sur un serveur qui tourne sous Linux 2.4 (donc netfilter/iptables) Le pb est que ce script permet de définir uniquement des régles pour les paquets venant de l'exterieur. J'aimerais bloquer aussi certains paquets venant du reseau local (eth0 - 192.168.1.0/24). Par défaut, il faut bloquer tout ce qui vient de eth0. Puis, on laisse passer les requetes pour le serveur (192.168.1.1) sur certains ports (tcp et/ou upd). Il faut aussi laisser passer des requetes sur certains ports vers l'exterieur (le device étant ippp0 - connexion ISDN). Tout ça évidemment en full-state.
Qui peut m'aider au niveau de la syntaxe ?
Merci d'avance.
Salut,
J'utilise shorewall qui donne déja quelques règles prédéfinies assez restrictives et après il faut assouplir ...
-- Eric
Nicolas BERNE
Thus Spoke Eric D. :
Salut,
J'utilise shorewall qui donne déja quelques règles prédéfinies assez restrictives et après il faut assouplir ... OK.
J'ai téléchargé le prg ainsi que la doc. Petite question : lorsque je mets par exemple cette ligne dans /etc/shorewall/rules: ACCEPT loc fw tcp ssh Shorewall va bien mettre en place le suivi de connexion (ESTABLISHED, RELATED et compagnie) ?
A+
-- Nicolas BERNE - mailto:
HTML lesson #42: The only legitimate use of the greatly loathed <BLINK> tag. Schroedinger's Cat is <BLINK>NOT</BLINK> dead.
Thus Spoke Eric D. <edouarin@noos.fr>:
Salut,
J'utilise shorewall qui donne déja quelques règles prédéfinies assez
restrictives et après il faut assouplir ...
OK.
J'ai téléchargé le prg ainsi que la doc.
Petite question : lorsque je mets par exemple cette ligne dans
/etc/shorewall/rules:
ACCEPT loc fw tcp ssh
Shorewall va bien mettre en place le suivi de connexion (ESTABLISHED, RELATED
et compagnie) ?
A+
--
Nicolas BERNE - mailto:nicolas.berne@wanadoo.fr
HTML lesson #42: The only legitimate use of the greatly loathed <BLINK> tag.
Schroedinger's Cat is <BLINK>NOT</BLINK> dead.
J'utilise shorewall qui donne déja quelques règles prédéfinies assez restrictives et après il faut assouplir ... OK.
J'ai téléchargé le prg ainsi que la doc. Petite question : lorsque je mets par exemple cette ligne dans /etc/shorewall/rules: ACCEPT loc fw tcp ssh Shorewall va bien mettre en place le suivi de connexion (ESTABLISHED, RELATED et compagnie) ?
A+
-- Nicolas BERNE - mailto:
HTML lesson #42: The only legitimate use of the greatly loathed <BLINK> tag. Schroedinger's Cat is <BLINK>NOT</BLINK> dead.
David Bizeul
"Nicolas BERNE" a écrit dans le message de news:
Bonjour à tous,
Au collège où je bosse, j'utilise le script MonMotha pour mettre en place le firewall (http://monmotha.mplug.org/) sur un serveur qui tourne sous Linux 2.4 (donc netfilter/iptables) Le pb est que ce script permet de définir uniquement des régles pour les paquets venant de l'exterieur. J'aimerais bloquer aussi certains paquets venant du reseau local (eth0 - 192.168.1.0/24). Par défaut, il faut bloquer tout ce qui vient de eth0. Puis, on laisse passer les requetes pour le serveur (192.168.1.1) sur certains ports (tcp et/ou upd). Il faut aussi laisser passer des requetes sur certains ports vers l'exterieur (le device étant ippp0 - connexion ISDN). Tout ça évidemment en full-state.
Qui peut m'aider au niveau de la syntaxe ?
Bonjour Tu as 3 politiques de filtrage sous iptables INPUT, OUTPUT et FORWARD Suivant tes préférences sur le respect des RFC et le mode de fonctionnement réseau, je te laisserai choisir entre DROP ou REJECT pour les actions par défaut
iptables -P INPUT DROP iptables -P OUTPUT DROP #iptables -P OUTPUT ACCEPT si tu préféres, selon que tu autorises ton serveur à sortir vers l'extérieur iptables -P FORWARD ACCEPT # tu devras partir sur une solution en DROP si tu ne veux autoriser tes clients à ne sortir que sur certains ports
iptables -A FORWARD -i ippp0 -m state --state NEW,INVALID -j DROP #comme notre policy est accept, on drop les comm entrantes provenant de l'externe
iptables -A INPUT -m limit --limit 15/minute -j LOG --log-prefix DROP_INPUT: #j'iame bien loger les flux entrants iptables -A INPUT -s 127.0.0.1 -j ACCEPT# pour autoriser les com en localhost iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT # statefull ############# liste des flux autorises########## iptables -A INPUT -i eth0 -d 192.168.1.1 -p tcp/udp --dport xxxx -j ACCEPT ...
iptables -A OUTPUT -s 127.0.0.1 -j ACCEPT# pour autoriser les com en localhost #iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT # tu dois mettre ca si tu places une politique drop en output
Cela devrait fonctionner, sinon, pour des règles plus fines et pour ton information personnelle, je te conseille fortement de lire la doc de iptables qui est très bien faite et traduite en français http://www.netfilter.org/documentation/HOWTO/fr/packet-filtering-HOWTO.html Dans tous les cas, cela te seras nécessaire pour pouvoir continuer à administrer ton firewall
Juste pour info, si tu ne te sens pas très à l'aise avec la ligne de commande, tu peux te tourner vers fwbuilder http://www.fwbuilder.org/ Cet outil te permettra de saisir ta politique de filtrage "à la checkpoint". Mais bon, tu ne peux pas tout faire avec....
Cordialement David
Merci d'avance.
-- Nicolas BERNE - mailto:
HTML lesson #42: The only legitimate use of the greatly loathed <BLINK> tag. Schroedinger's Cat is <BLINK>NOT</BLINK> dead.
"Nicolas BERNE" <nicolas_dot_berne@wanadoo.fr.invalid> a écrit dans le
message de news: slrncr098u.9qk.nicolas_dot_berne@melkor.zorglub.z...
Bonjour à tous,
Au collège où je bosse, j'utilise le script MonMotha pour mettre en place
le firewall (http://monmotha.mplug.org/) sur un serveur qui tourne sous
Linux 2.4 (donc netfilter/iptables)
Le pb est que ce script permet de définir uniquement des régles pour les
paquets venant de l'exterieur.
J'aimerais bloquer aussi certains paquets venant du reseau local (eth0 -
192.168.1.0/24).
Par défaut, il faut bloquer tout ce qui vient de eth0.
Puis, on laisse passer les requetes pour le serveur (192.168.1.1) sur
certains ports (tcp et/ou upd).
Il faut aussi laisser passer des requetes sur certains ports vers
l'exterieur (le device étant ippp0 - connexion ISDN).
Tout ça évidemment en full-state.
Qui peut m'aider au niveau de la syntaxe ?
Bonjour
Tu as 3 politiques de filtrage sous iptables INPUT, OUTPUT et FORWARD
Suivant tes préférences sur le respect des RFC et le mode de fonctionnement
réseau, je te laisserai choisir entre DROP ou REJECT pour les actions par
défaut
iptables -P INPUT DROP
iptables -P OUTPUT DROP
#iptables -P OUTPUT ACCEPT si tu préféres, selon que tu autorises ton
serveur à sortir vers l'extérieur
iptables -P FORWARD ACCEPT # tu devras partir sur une solution en DROP si
tu ne veux autoriser tes clients à ne sortir que sur certains ports
iptables -A FORWARD -i ippp0 -m state --state NEW,INVALID -j DROP #comme
notre policy est accept, on drop les comm entrantes provenant de l'externe
iptables -A INPUT -m limit --limit 15/minute -j LOG --log-prefix DROP_INPUT:
#j'iame bien loger les flux entrants
iptables -A INPUT -s 127.0.0.1 -j ACCEPT# pour autoriser les com en
localhost
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT # statefull
############# liste des flux autorises##########
iptables -A INPUT -i eth0 -d 192.168.1.1 -p tcp/udp --dport xxxx -j ACCEPT
...
iptables -A OUTPUT -s 127.0.0.1 -j ACCEPT# pour autoriser les com en
localhost
#iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT # tu dois
mettre ca si tu places une politique drop en output
Cela devrait fonctionner, sinon, pour des règles plus fines et pour ton
information personnelle, je te conseille fortement de lire la doc de
iptables qui est très bien faite et traduite en français
http://www.netfilter.org/documentation/HOWTO/fr/packet-filtering-HOWTO.html
Dans tous les cas, cela te seras nécessaire pour pouvoir continuer à
administrer ton firewall
Juste pour info, si tu ne te sens pas très à l'aise avec la ligne de
commande, tu peux te tourner vers fwbuilder
http://www.fwbuilder.org/
Cet outil te permettra de saisir ta politique de filtrage "à la checkpoint".
Mais bon, tu ne peux pas tout faire avec....
Cordialement
David
Merci d'avance.
--
Nicolas BERNE - mailto:nicolas.berne@wanadoo.fr
HTML lesson #42: The only legitimate use of the greatly loathed <BLINK>
tag.
Schroedinger's Cat is <BLINK>NOT</BLINK> dead.
Au collège où je bosse, j'utilise le script MonMotha pour mettre en place le firewall (http://monmotha.mplug.org/) sur un serveur qui tourne sous Linux 2.4 (donc netfilter/iptables) Le pb est que ce script permet de définir uniquement des régles pour les paquets venant de l'exterieur. J'aimerais bloquer aussi certains paquets venant du reseau local (eth0 - 192.168.1.0/24). Par défaut, il faut bloquer tout ce qui vient de eth0. Puis, on laisse passer les requetes pour le serveur (192.168.1.1) sur certains ports (tcp et/ou upd). Il faut aussi laisser passer des requetes sur certains ports vers l'exterieur (le device étant ippp0 - connexion ISDN). Tout ça évidemment en full-state.
Qui peut m'aider au niveau de la syntaxe ?
Bonjour Tu as 3 politiques de filtrage sous iptables INPUT, OUTPUT et FORWARD Suivant tes préférences sur le respect des RFC et le mode de fonctionnement réseau, je te laisserai choisir entre DROP ou REJECT pour les actions par défaut
iptables -P INPUT DROP iptables -P OUTPUT DROP #iptables -P OUTPUT ACCEPT si tu préféres, selon que tu autorises ton serveur à sortir vers l'extérieur iptables -P FORWARD ACCEPT # tu devras partir sur une solution en DROP si tu ne veux autoriser tes clients à ne sortir que sur certains ports
iptables -A FORWARD -i ippp0 -m state --state NEW,INVALID -j DROP #comme notre policy est accept, on drop les comm entrantes provenant de l'externe
iptables -A INPUT -m limit --limit 15/minute -j LOG --log-prefix DROP_INPUT: #j'iame bien loger les flux entrants iptables -A INPUT -s 127.0.0.1 -j ACCEPT# pour autoriser les com en localhost iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT # statefull ############# liste des flux autorises########## iptables -A INPUT -i eth0 -d 192.168.1.1 -p tcp/udp --dport xxxx -j ACCEPT ...
iptables -A OUTPUT -s 127.0.0.1 -j ACCEPT# pour autoriser les com en localhost #iptables -A OUTPUT -m state --state RELATED,ESTABLISHED -j ACCEPT # tu dois mettre ca si tu places une politique drop en output
Cela devrait fonctionner, sinon, pour des règles plus fines et pour ton information personnelle, je te conseille fortement de lire la doc de iptables qui est très bien faite et traduite en français http://www.netfilter.org/documentation/HOWTO/fr/packet-filtering-HOWTO.html Dans tous les cas, cela te seras nécessaire pour pouvoir continuer à administrer ton firewall
Juste pour info, si tu ne te sens pas très à l'aise avec la ligne de commande, tu peux te tourner vers fwbuilder http://www.fwbuilder.org/ Cet outil te permettra de saisir ta politique de filtrage "à la checkpoint". Mais bon, tu ne peux pas tout faire avec....
Cordialement David
Merci d'avance.
-- Nicolas BERNE - mailto:
HTML lesson #42: The only legitimate use of the greatly loathed <BLINK> tag. Schroedinger's Cat is <BLINK>NOT</BLINK> dead.
Nicolas BERNE
Thus Spoke David Bizeul :
Bonjour Tu as 3 politiques de filtrage sous iptables INPUT, OUTPUT et FORWARD Suivant tes préférences sur le respect des RFC et le mode de fonctionnement réseau, je te laisserai choisir entre DROP ou REJECT pour les actions par défaut
<SNIP>
Juste pour info, si tu ne te sens pas très à l'aise avec la ligne de commande, tu peux te tourner vers fwbuilder http://www.fwbuilder.org/ Cet outil te permettra de saisir ta politique de filtrage "à la checkpoint". Mais bon, tu ne peux pas tout faire avec.... Merci pour le lien (en fait, je suis assez à l'aise avec la ligne de
commande, c'est plutot netfilter qui me pose pb - mon firewall perso tourne sous openBSD et j'ai configuré sans pb pf - qui me semble un peu + facile à configurer que netfilter :o) )
En fait, j'ai trouvé mon bonheur avec shorewall. Je l'ai configuré en 2 temps, 3 mouvements et j'ai obtenu exactement ce que je cherchais. Je remercie encore Eric pour m'avoir conseillé shorewall.
A+
-- Nicolas BERNE - mailto:
HTML lesson #42: The only legitimate use of the greatly loathed <BLINK> tag. Schroedinger's Cat is <BLINK>NOT</BLINK> dead.
Thus Spoke David Bizeul <donotreply@nomail.com>:
Bonjour
Tu as 3 politiques de filtrage sous iptables INPUT, OUTPUT et FORWARD
Suivant tes préférences sur le respect des RFC et le mode de fonctionnement
réseau, je te laisserai choisir entre DROP ou REJECT pour les actions par
défaut
<SNIP>
Juste pour info, si tu ne te sens pas très à l'aise avec la ligne de
commande, tu peux te tourner vers fwbuilder
http://www.fwbuilder.org/
Cet outil te permettra de saisir ta politique de filtrage "à la checkpoint".
Mais bon, tu ne peux pas tout faire avec....
Merci pour le lien (en fait, je suis assez à l'aise avec la ligne de
commande, c'est plutot netfilter qui me pose pb - mon firewall perso
tourne sous openBSD et j'ai configuré sans pb pf - qui me semble un peu
+ facile à configurer que netfilter :o) )
En fait, j'ai trouvé mon bonheur avec shorewall.
Je l'ai configuré en 2 temps, 3 mouvements et j'ai obtenu exactement ce
que je cherchais.
Je remercie encore Eric pour m'avoir conseillé shorewall.
A+
--
Nicolas BERNE - mailto:nicolas.berne@wanadoo.fr
HTML lesson #42: The only legitimate use of the greatly loathed <BLINK> tag.
Schroedinger's Cat is <BLINK>NOT</BLINK> dead.
Bonjour Tu as 3 politiques de filtrage sous iptables INPUT, OUTPUT et FORWARD Suivant tes préférences sur le respect des RFC et le mode de fonctionnement réseau, je te laisserai choisir entre DROP ou REJECT pour les actions par défaut
<SNIP>
Juste pour info, si tu ne te sens pas très à l'aise avec la ligne de commande, tu peux te tourner vers fwbuilder http://www.fwbuilder.org/ Cet outil te permettra de saisir ta politique de filtrage "à la checkpoint". Mais bon, tu ne peux pas tout faire avec.... Merci pour le lien (en fait, je suis assez à l'aise avec la ligne de
commande, c'est plutot netfilter qui me pose pb - mon firewall perso tourne sous openBSD et j'ai configuré sans pb pf - qui me semble un peu + facile à configurer que netfilter :o) )
En fait, j'ai trouvé mon bonheur avec shorewall. Je l'ai configuré en 2 temps, 3 mouvements et j'ai obtenu exactement ce que je cherchais. Je remercie encore Eric pour m'avoir conseillé shorewall.
A+
-- Nicolas BERNE - mailto:
HTML lesson #42: The only legitimate use of the greatly loathed <BLINK> tag. Schroedinger's Cat is <BLINK>NOT</BLINK> dead.