quel firewall facile ?

Le
mess-mate
Bonjour,
le firewall de mon routeur(debian) est le 'arno-iptables-firewall'
qui jusqu'à présent donnait pleine satisfaction.

Ayant maintenant installé un dmz, celui-ci n'a pas l'air d'être à l=
a
page ou c'est moi qui n'arrive pas à le configurer à ce niveau.

Quoi qu'il en soit j'adopterais volontiers pour un autre firewall
pas trop compliqué (disons facile) car il faut qu'il marche au plus
vite afin de remettre mes pages sur le net.
De préférence un firewall en mode console.
Que me conseillez-vous ?
cordialement
mess-mate
--

Patch griefs with proverbs.
-- William Shakespeare, "Much Ado About Nothing"
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Jean-Yves F. Barbier
Le #9518761
Le mercredi 28 février 2007 17:57, mess-mate a écrit :
Bonjour,
le firewall de mon routeur(debian) est le 'arno-iptables-firewall'
qui jusqu'à présent donnait pleine satisfaction.

Ayant maintenant installé un dmz, celui-ci n'a pas l'air d'être à la
page ou c'est moi qui n'arrive pas à le configurer à ce niveau.

Quoi qu'il en soit j'adopterais volontiers pour un autre firewall
pas trop compliqué (disons facile) car il faut qu'il marche au plus
vite afin de remettre mes pages sur le net.
De préférence un firewall en mode console.
Que me conseillez-vous ?
cordialement
mess-mate



shorewall (pas mal de HOWTOs, même en fr sur le net)
jeriop
Le #9518731
--=-AeXvoTj2oDF7z49DqEfE
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: 8bit

Ceci marche bien chez moi
Tout est expliqué là :

http://lea-linux.org/pho/read/3/227949/228105/quote


#!/bin/sh
# firewall v1.0.1 Oct 13 09:48:57 PDT 2003 written by : Kernel
# this script is free software according to the GNU General Public
License (see [www.gnu.org])
# Start/stop/restart/status firewall:

firewall_start() {

echo "[Démarrage du firewall]"

############################### REGLES PAR DEFAUT
###########################

echo "[Initialisation de la table filter]"
iptables -F
iptables -X

echo "[Politique par défaut de la table filter]"

# On ignore tout ce qui entre ou transite par la passerelle
iptables -P INPUT DROP
iptables -P FORWARD DROP

# On accepte, ce qui sort
iptables -P OUTPUT ACCEPT

# Pour éviter les mauvaises suprises, on va autoriser l'accès à la
loopback :
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

############################### LOCAL-INTERNET
###########################

echo "[On autorise les clients à accéder à internet]"

#On créé une nouvelle chaîne, le nom est indifférent
# appelons-la "local-internet"
iptables -N local-internet

# On définit le profil de ceux qui appartiendront à "local-internet"
# "local-internet" concerne toutes les connections sauf celles venant
d'internet ( ! = non)
# En gros avec ça, vous rendez, vos serveurs inaccessibles depuis
internet.
# Pas de panique, certains serveurs seront autorisés explicitement dans
la suite.
iptables -A local-internet -m state --state NEW -i ! ppp0 -j ACCEPT

#Evidemment, une fois acceptées comme "local-internet", les connections
peuvent continuer
# et faire des petits image : content
iptables -A local-internet -m state --state ESTABLISHED,RELATED -j
ACCEPT

# On termine en indiquant que les connections appartenant à
"local-internet"
# accèdent à internet de manière transparente.
iptables -A INPUT -j local-internet
iptables -A FORWARD -j local-internet

############################### LES TABLES NAT ET MANGLE
#############################

echo "[Initialisation des tables nat et mangle]"

iptables -t nat -F
iptables -t nat -X
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT

iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P OUTPUT ACCEPT

#################################### LE MASQUERADING
########################################

# Commentez ces 2 lignes, si vous ne faîtes pas du masquerading (nat)
echo "[Mise en place du masquerading]"
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o ppp0 -j MASQUERADE

################################# ACTIVATION DE LA PASSERELLE
##################

echo "[Activation de la passerelle]"
echo 1 > /proc/sys/net/ipv4/ip_forward

################################# PAS DE SPOOFING
############################

echo "[Pas de spoofing]"
if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ] ; then
for filtre in /proc/sys/net/ipv4/conf/*/rp_filter
do
echo 1 > $filtre
done
fi

########################## PAS DE SYNFLOOD ####################

echo "[Pas de synflood]"
if [ -e /proc/sys/net/ipv4/tcp_syncookies ] ; then
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
fi

################################## PAS DE PING
###############################

# commentez ces 6 lignes, si vous autorisez les pings sur votre
passerelle
echo "[Pas ping]"
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
if [ -e /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses ] ; then
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
fi

############# Priorisation de la bande passante et des connections - QoS
############
image : rireroll// ça, tu n'en auras pas forcément besoin (d'ailleurs,
ici c'est encore incomplet, la priorisation (QoS) ne fonctionne que pour
les données que j'envoie (upload) mais pas pour le download.)image :
rireroll

echo "[priorisation des connections ssh ...]";
iptables -A PREROUTING -t mangle -p tcp --sport 443 -j TOS --set-tos
Minimize-Delay

echo "[priorisation des connections http ...]";
iptables -A PREROUTING -t mangle -p tcp --sport http -j TOS --set-tos
Maximize-throughput
iptables -A PREROUTING -t mangle -p tcp --sport 3129 -j TOS --set-tos
Maximize-throughput

echo "[priorisation des connections Diablo 2 ...]";
iptables -A PREROUTING -t mangle -p tcp --sport 6112:6119 -j TOS
--set-tos Minimize-Delay
iptables -A PREROUTING -t mangle -p udp --sport 6112:6119 -j TOS
--set-tos Minimize-Delay
iptables -A PREROUTING -t mangle -p tcp --sport 4000 -j TOS --set-tos
Minimize-Delay
iptables -A PREROUTING -t mangle -p udp --sport 4000 -j TOS --set-tos
Minimize-Delay

# Maximum de débit à Diablo 2
iptables -A PREROUTING -t mangle -p tcp --sport 6112:6119 -j TOS
--set-tos Maximize-Throughput
iptables -A PREROUTING -t mangle -p udp --sport 6112:6119 -j TOS
--set-tos Maximize-Throughput
iptables -A PREROUTING -t mangle -p tcp --sport 4000 -j TOS --set-tos
Maximize-Throughput
iptables -A PREROUTING -t mangle -p udp --sport 4000 -j TOS --set-tos
Maximize-Throughput

############################ Fonctionnalités serveurs
#####################################

echo "[Etude des fonctionalités serveurs, visibles depuis internet]"

# A ce stade, tous vos clients du réseau local et de la passerelle ont
accès à internet. Mieux,
# vos clients du réseau local, ont accès à vos serveurs apache,
proftp ... localement. Mais personne
# depuis internet ne peux accéder à l'un des serveurs que vous
hébergez.

# Il est bien-sûr possible de dévérrouiller pontuellement l'accès à un
serveur depuis internet,
# en décommentant les 2 ou 3 lignes correspondantes.

#echo "[autorisation du serveur ssh(22) ...]"
#iptables -A INPUT -p tcp --dport ssh -j ACCEPT

#echo "[autorisation du serveur smtp(25) ...]"
#iptables -A INPUT -p tcp --dport smtp -j ACCEPT

echo "[autorisation du serveur http(80) ...]"
iptables -A INPUT -p tcp --dport www -j ACCEPT

echo "[autorisation du serveur https(443) ...]"
iptables -A INPUT -p tcp --dport 443 -j ACCEPT

#echo "[autorisation du serveur DNS(53) ...]"
#iptables -A INPUT -p udp --dport domain -j ACCEPT
#iptables -A INPUT -p tcp --dport domain -j ACCEPT

#echo "[autorisation du serveur irc(6667) ...]"
#iptables -A INPUT -p tcp --dport ircd -j ACCEPT

#echo "[autorisation du serveur cvs (2401) ...]"
#iptables -A INPUT -p tcp --dport cvspserver -j ACCEPT

#echo "[autorisation du serveur FTP(21 et 20) ...]"
#iptables -A INPUT -p tcp --dport ftp -j ACCEPT
#iptables -A INPUT -p tcp --dport ftp-data -j ACCEPT

# Ne pas décommenter les 3 lignes qui suivent.
# Plus généralement :
#echo "[autorisation du serveur Mon_truc(10584) ...]"
#iptables -A INPUT -p tcp --dport 10584 -j ACCEPT

# Ports visibles depuis l'extérieur pour Freenet :
echo "[autorisation du serveur Freenet (23050/tcp) ...]"
iptables -A INPUT -p tcp --dport 23050 -j ACCEPT

echo "[autorisation du serveur aMule (4662/tcp) ...]"
iptables -A INPUT -p tcp --dport 4662 -j ACCEPT

echo "[autorisation du serveur BitTorrent (6881-6889/tcp) ...]"
iptables -A INPUT -p tcp --dport 6881:6889 -j ACCEPT

echo "[firewall activé !]"
}

firewall_stop() {


iptables -F
iptables -X
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

iptables -t nat -F
iptables -t nat -X
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT

iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P OUTPUT ACCEPT

echo " [firewall descativé!]"
}

firewall_restart() {
firewall_stop
sleep 2
firewall_start
}

case "$1" in
'start')
firewall_start
;;
'stop')
firewall_stop
;;
'restart')
firewall_restart
;;
'status')
iptables -L
iptables -t nat -L
iptables -t mangle -L
;;
*)
echo "Usage: firewall {start|stop|restart|status}"
esac


Le mercredi 28 février 2007 à 18:30 +0100, Jean-Yves F. Barbier a
écrit :

Le mercredi 28 février 2007 17:57, mess-mate a écrit :
> Bonjour,
> le firewall de mon routeur(debian) est le 'arno-iptables-firewall'
> qui jusqu'à présent donnait pleine satisfaction.
>
> Ayant maintenant installé un dmz, celui-ci n'a pas l'air d'être à la
> page ou c'est moi qui n'arrive pas à le configurer à ce niveau.
>
> Quoi qu'il en soit j'adopterais volontiers pour un autre firewall
> pas trop compliqué (disons facile) car il faut qu'il marche au plus
> vite afin de remettre mes pages sur le net.
> De préférence un firewall en mode console.
> Que me conseillez-vous ?
> cordialement
> mess-mate

shorewall (pas mal de HOWTOs, même en fr sur le net)





--=-AeXvoTj2oDF7z49DqEfE
Content-Type: text/html; charset=utf-8
Content-Transfer-Encoding: 7bit

<HTML>
<HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; CHARSET=UTF-8">
</HEAD>
<BODY>
Ceci marche bien chez moi<BR>
Tout est expliqu&#233; l&#224; :<BR>
<BR>
<BR>
<BR>
#!/bin/sh <BR>
# firewall v1.0.1 Oct 13 09:48:57 PDT 2003 written by : Kernel &lt; # this script is free software according to the GNU General Public License (see [ # Start/stop/restart/status firewall: <BR>
<BR>
firewall_start() { <BR>
<BR>
echo &quot;[D&#233;marrage du firewall]&quot; <BR>
<BR>
############################### REGLES PAR DEFAUT ########################### <BR>
<BR>
echo &quot;[Initialisation de la table filter]&quot; <BR>
iptables -F <BR>
iptables -X <BR>
<BR>
echo &quot;[Politique par d&#233;faut de la table filter]&quot; <BR>
<BR>
# On ignore tout ce qui entre ou transite par la passerelle <BR>
iptables -P INPUT DROP <BR>
iptables -P FORWARD DROP <BR>
<BR>
# On accepte, ce qui sort <BR>
iptables -P OUTPUT ACCEPT <BR>
<BR>
# Pour &#233;viter les mauvaises suprises, on va autoriser l'acc&#232;s &#224; la loopback : <BR>
iptables -A INPUT -i lo -j ACCEPT <BR>
iptables -A OUTPUT -o lo -j ACCEPT <BR>
<BR>
############################### LOCAL-INTERNET ########################### <BR>
<BR>
echo &quot;[On autorise les clients &#224; acc&#233;der &#224; internet]&quot; <BR>
<BR>
#On cr&#233;&#233; une nouvelle cha&#238;ne, le nom est indiff&#233;rent <BR>
# appelons-la &quot;local-internet&quot; <BR>
iptables -N local-internet <BR>
<BR>
# On d&#233;finit le profil de ceux qui appartiendront &#224; &quot;local-internet&quot; <BR>
# &quot;local-internet&quot; concerne toutes les connections sauf celles venant d'internet ( ! = non) <BR>
# En gros avec &#231;a, vous rendez, vos serveurs inaccessibles depuis internet. <BR>
# Pas de panique, certains serveurs seront autoris&#233;s explicitement dans la suite. <BR>
iptables -A local-internet -m state --state NEW -i ! ppp0 -j ACCEPT <BR>
<BR>
#Evidemment, une fois accept&#233;es comme &quot;local-internet&quot;, les connections peuvent continuer <BR>
# et faire des petits iptables -A local-internet -m state --state ESTABLISHED,RELATED -j ACCEPT <BR>
<BR>
# On termine en indiquant que les connections appartenant &#224; &quot;local-internet&quot; <BR>
# acc&#232;dent &#224; internet de mani&#232;re transparente. <BR>
iptables -A INPUT -j local-internet <BR>
iptables -A FORWARD -j local-internet <BR>
<BR>
############################### LES TABLES NAT ET MANGLE ############################# <BR>
<BR>
echo &quot;[Initialisation des tables nat et mangle]&quot; <BR>
<BR>
iptables -t nat -F <BR>
iptables -t nat -X <BR>
iptables -t nat -P PREROUTING ACCEPT <BR>
iptables -t nat -P POSTROUTING ACCEPT <BR>
iptables -t nat -P OUTPUT ACCEPT <BR>
<BR>
iptables -t mangle -F <BR>
iptables -t mangle -X <BR>
iptables -t mangle -P PREROUTING ACCEPT <BR>
iptables -t mangle -P OUTPUT ACCEPT <BR>
<BR>
#################################### LE MASQUERADING ######################################## <BR>
<BR>
# Commentez ces 2 lignes, si vous ne fa&#238;tes pas du masquerading (nat) <BR>
echo &quot;[Mise en place du masquerading]&quot; <BR>
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o ppp0 -j MASQUERADE <BR>
<BR>
################################# ACTIVATION DE LA PASSERELLE ################## <BR>
<BR>
echo &quot;[Activation de la passerelle]&quot; <BR>
echo 1 &gt; /proc/sys/net/ipv4/ip_forward <BR>
<BR>
################################# PAS DE SPOOFING ############################ <BR>
<BR>
echo &quot;[Pas de spoofing]&quot; <BR>
if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ] ; then <BR>
for filtre in /proc/sys/net/ipv4/conf/*/rp_filter <BR>
do <BR>
echo 1 &gt; $filtre <BR>
done <BR>
fi <BR>
<BR>
########################## PAS DE SYNFLOOD #################### <BR>
<BR>
echo &quot;[Pas de synflood]&quot; <BR>
if [ -e /proc/sys/net/ipv4/tcp_syncookies ] ; then <BR>
echo 1 &gt; /proc/sys/net/ipv4/tcp_syncookies <BR>
fi <BR>
<BR>
################################## PAS DE PING ############################### <BR>
<BR>
# commentez ces 6 lignes, si vous autorisez les pings sur votre passerelle <BR>
echo &quot;[Pas ping]&quot; <BR>
echo 1 &gt; /proc/sys/net/ipv4/icmp_echo_ignore_all <BR>
echo 1 &gt; /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts <BR>
if [ -e /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses ] ; then <BR>
echo 1 &gt; /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses <BR>
fi <BR>
<BR>
############# Priorisation de la bande passante et des connections - QoS ############ <BR>
<BR>
echo &quot;[priorisation des connections ssh ...]&quot;; <BR>
iptables -A PREROUTING -t mangle -p tcp --sport 443 -j TOS --set-tos Minimize-Delay <BR>
<BR>
echo &quot;[priorisation des connections http ...]&quot;; <BR>
iptables -A PREROUTING -t mangle -p tcp --sport http -j TOS --set-tos Maximize-throughput <BR>
iptables -A PREROUTING -t mangle -p tcp --sport 3129 -j TOS --set-tos Maximize-throughput <BR>
<BR>
echo &quot;[priorisation des connections Diablo 2 ...]&quot;; <BR>
iptables -A PREROUTING -t mangle -p tcp --sport 6112:6119 -j TOS --set-tos Minimize-Delay <BR>
iptables -A PREROUTING -t mangle -p udp --sport 6112:6119 -j TOS --set-tos Minimize-Delay <BR>
iptables -A PREROUTING -t mangle -p tcp --sport 4000 -j TOS --set-tos Minimize-Delay <BR>
iptables -A PREROUTING -t mangle -p udp --sport 4000 -j TOS --set-tos Minimize-Delay <BR>
<BR>
# Maximum de d&#233;bit &#224; Diablo 2 <BR>
iptables -A PREROUTING -t mangle -p tcp --sport 6112:6119 -j TOS --set-tos Maximize-Throughput <BR>
iptables -A PREROUTING -t mangle -p udp --sport 6112:6119 -j TOS --set-tos Maximize-Throughput <BR>
iptables -A PREROUTING -t mangle -p tcp --sport 4000 -j TOS --set-tos Maximize-Throughput <BR>
iptables -A PREROUTING -t mangle -p udp --sport 4000 -j TOS --set-tos Maximize-Throughput <BR>
<BR>
############################ Fonctionnalit&#233;s serveurs ##################################### <BR>
<BR>
echo &quot;[Etude des fonctionalit&#233;s serveurs, visibles depuis internet]&quot; <BR>
<BR>
# A ce stade, tous vos clients du r&#233;seau local et de la passerelle ont acc&#232;s &#224; internet. Mieux, <BR>
# vos clients du r&#233;seau local, ont acc&#232;s &#224; vos serveurs apache, proftp ... localement. Mais personne <BR>
# depuis internet ne peux acc&#233;der &#224; l'un des serveurs que vous h&#233;bergez. <BR>
<BR>
# Il est bien-s&#251;r possible de d&#233;v&#233;rrouiller pontuellement l'acc&#232;s &#224; un serveur depuis internet, <BR>
# en d&#233;commentant les 2 ou 3 lignes correspondantes. <BR>
<BR>
#echo &quot;[autorisation du serveur ssh(22) ...]&quot; <BR>
#iptables -A INPUT -p tcp --dport ssh -j ACCEPT <BR>
<BR>
#echo &quot;[autorisation du serveur smtp(25) ...]&quot; <BR>
#iptables -A INPUT -p tcp --dport smtp -j ACCEPT <BR>
<BR>
echo &quot;[autorisation du serveur http(80) ...]&quot; <BR>
iptables -A INPUT -p tcp --dport www -j ACCEPT <BR>
<BR>
echo &quot;[autorisation du serveur https(443) ...]&quot; <BR>
iptables -A INPUT -p tcp --dport 443 -j ACCEPT <BR>
<BR>
#echo &quot;[autorisation du serveur DNS(53) ...]&quot; <BR>
#iptables -A INPUT -p udp --dport domain -j ACCEPT <BR>
#iptables -A INPUT -p tcp --dport domain -j ACCEPT <BR>
<BR>
#echo &quot;[autorisation du serveur irc(6667) ...]&quot; <BR>
#iptables -A INPUT -p tcp --dport ircd -j ACCEPT <BR>
<BR>
#echo &quot;[autorisation du serveur cvs (2401) ...]&quot; <BR>
#iptables -A INPUT -p tcp --dport cvspserver -j ACCEPT <BR>
<BR>
#echo &quot;[autorisation du serveur FTP(21 et 20) ...]&quot; <BR>
#iptables -A INPUT -p tcp --dport ftp -j ACCEPT <BR>
#iptables -A INPUT -p tcp --dport ftp-data -j ACCEPT <BR>
<BR>
# Ne pas d&#233;commenter les 3 lignes qui suivent. <BR>
# Plus g&#233;n&#233;ralement : <BR>
#echo &quot;[autorisation du serveur Mon_truc(10584) ...]&quot; <BR>
#iptables -A INPUT -p tcp --dport 10584 -j ACCEPT <BR>
<BR>
# Ports visibles depuis l'ext&#233;rieur pour Freenet : <BR>
echo &quot;[autorisation du serveur Freenet (23050/tcp) ...]&quot; <BR>
iptables -A INPUT -p tcp --dport 23050 -j ACCEPT <BR>
<BR>
echo &quot;[autorisation du serveur aMule (4662/tcp) ...]&quot; <BR>
iptables -A INPUT -p tcp --dport 4662 -j ACCEPT <BR>
<BR>
echo &quot;[autorisation du serveur BitTorrent (6881-6889/tcp) ...]&quot; <BR>
iptables -A INPUT -p tcp --dport 6881:6889 -j ACCEPT <BR>
<BR>
echo &quot;[firewall activ&#233; !]&quot; <BR>
} <BR>
<BR>
firewall_stop() { <BR>
<BR>
<BR>
iptables -F <BR>
iptables -X <BR>
iptables -P INPUT ACCEPT <BR>
iptables -P FORWARD ACCEPT <BR>
iptables -P OUTPUT ACCEPT <BR>
<BR>
iptables -t nat -F <BR>
iptables -t nat -X <BR>
iptables -t nat -P PREROUTING ACCEPT <BR>
iptables -t nat -P POSTROUTING ACCEPT <BR>
iptables -t nat -P OUTPUT ACCEPT <BR>
<BR>
iptables -t mangle -F <BR>
iptables -t mangle -X <BR>
iptables -t mangle -P PREROUTING ACCEPT <BR>
iptables -t mangle -P OUTPUT ACCEPT <BR>
<BR>
echo &quot; [firewall descativ&#233;!]&quot; <BR>
} <BR>
<BR>
firewall_restart() { <BR>
firewall_stop <BR>
sleep 2 <BR>
firewall_start <BR>
} <BR>
<BR>
case &quot;$1&quot; in <BR>
'start') <BR>
firewall_start <BR>
;; <BR>
'stop') <BR>
firewall_stop <BR>
;; <BR>
'restart') <BR>
firewall_restart <BR>
;; <BR>
'status') <BR>
iptables -L <BR>
iptables -t nat -L <BR>
iptables -t mangle -L <BR>
;; <BR>
*) <BR>
echo &quot;Usage: firewall {start|stop|restart|status}&quot; <BR>
esac
<BR>
<BR>
Le mercredi 28 f&#233;vrier 2007 &#224; 18:30 +0100, Jean-Yves F. Barbier a &#233;crit :
<BLOCKQUOTE TYPE=CITE>
<PRE>
<FONT COLOR="#000000">Le mercredi 28 f&#233;vrier 2007 17:57, mess-mate a &#233;crit&nbsp;:</FONT>
<FONT COLOR="#000000">&gt; Bonjour,</FONT>
<FONT COLOR="#000000">&gt; le firewall de mon routeur(debian) est le 'arno-iptables-firewall'</FONT>
<FONT COLOR="#000000">&gt;</FONT>
<FONT COLOR="#000000">&gt; Ayant maintenant install&#233; un dmz, celui-ci n'a pas l'air d'&#234;tre &#224; la</FONT>
<FONT COLOR="#000000">&gt;</FONT>
<FONT COLOR="#000000">&gt; Quoi qu'il en soit j'adopterais volontiers pour un autre firewall</FONT>
<FONT COLOR="#000000">&gt; pas trop compliqu&#233; (disons facile) car il faut qu'il marche au plus</FONT>
<FONT COLOR="#000000">&gt; Que me conseillez-vous ?</FONT>
<FONT COLOR="#000000">&gt; cordialement</FONT>
<FONT COLOR="#000000">&gt; mess-mate</FONT>

<FONT COLOR="#000000">shorewall (pas mal de HOWTOs, m&#234;me en fr sur le net)</FONT>


</PRE>
</BLOCKQUOTE>
</BODY>
</HTML>

--=-AeXvoTj2oDF7z49DqEfE--



--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
jeriop
Le #9518651
--=-xUtuxYO9fRf6hx0fRLRO
Content-Type: multipart/alternative; boundary="=-OLLDGqVoZf+aS8mGqMnH"


--=-OLLDGqVoZf+aS8mGqMnH
Content-Type: text/plain; charset=ISO-8859-1
Content-Transfer-Encoding: 8bit

Ne poussons pas pépère dans les orties
Le fichier que je t'ai mis en pièce jointe est à renommer et à copier
dans /etc/init.d
Ensuite faire pointer des liens symbolique dessus, à partir
de /etc/rc.xx selon ce que tu veux au démarrage.
Je peux te donner + de détails si nécessaire
L'article de Léa était à adapter, vu que la page concerne la Slackware
Ce script fonctionne parfaitement et je l'ai testé sur des sites de test
où ce firewall a obtenu la meilleure note.

Jer




Le mercredi 28 février 2007 à 19:57 +0100, jeriop a écrit :

Ceci marche bien chez moi
Tout est expliqué là :

http://lea-linux.org/pho/read/3/227949/228105/quote


#!/bin/sh
# firewall v1.0.1 Oct 13 09:48:57 PDT 2003 written by : Kernel
# this script is free software according to the GNU General Public
License (see [www.gnu.org])
# Start/stop/restart/status firewall:

firewall_start() {

echo "[Démarrage du firewall]"

############################### REGLES PAR DEFAUT
###########################

echo "[Initialisation de la table filter]"
iptables -F
iptables -X

echo "[Politique par défaut de la table filter]"

# On ignore tout ce qui entre ou transite par la passerelle
iptables -P INPUT DROP
iptables -P FORWARD DROP

# On accepte, ce qui sort
iptables -P OUTPUT ACCEPT

# Pour éviter les mauvaises suprises, on va autoriser l'accès à la
loopback :
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

############################### LOCAL-INTERNET
###########################

echo "[On autorise les clients à accéder à internet]"

#On créé une nouvelle chaîne, le nom est indifférent
# appelons-la "local-internet"
iptables -N local-internet

# On définit le profil de ceux qui appartiendront à "local-internet"
# "local-internet" concerne toutes les connections sauf celles venant
d'internet ( ! = non)
# En gros avec ça, vous rendez, vos serveurs inaccessibles depuis
internet.
# Pas de panique, certains serveurs seront autorisés explicitement
dans la suite.
iptables -A local-internet -m state --state NEW -i ! ppp0 -j ACCEPT

#Evidemment, une fois acceptées comme "local-internet", les
connections peuvent continuer
# et faire des petits image : content
iptables -A local-internet -m state --state ESTABLISHED,RELATED -j
ACCEPT

# On termine en indiquant que les connections appartenant à
"local-internet"
# accèdent à internet de manière transparente.
iptables -A INPUT -j local-internet
iptables -A FORWARD -j local-internet

############################### LES TABLES NAT ET MANGLE
#############################

echo "[Initialisation des tables nat et mangle]"

iptables -t nat -F
iptables -t nat -X
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT

iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P OUTPUT ACCEPT

#################################### LE MASQUERADING
########################################

# Commentez ces 2 lignes, si vous ne faîtes pas du masquerading (nat)
echo "[Mise en place du masquerading]"
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o ppp0 -j
MASQUERADE

################################# ACTIVATION DE LA PASSERELLE
##################

echo "[Activation de la passerelle]"
echo 1 > /proc/sys/net/ipv4/ip_forward

################################# PAS DE SPOOFING
############################

echo "[Pas de spoofing]"
if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ] ; then
for filtre in /proc/sys/net/ipv4/conf/*/rp_filter
do
echo 1 > $filtre
done
fi

########################## PAS DE SYNFLOOD ####################

echo "[Pas de synflood]"
if [ -e /proc/sys/net/ipv4/tcp_syncookies ] ; then
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
fi

################################## PAS DE PING
###############################

# commentez ces 6 lignes, si vous autorisez les pings sur votre
passerelle
echo "[Pas ping]"
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
if [ -e /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses ] ; then
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
fi

############# Priorisation de la bande passante et des connections -
QoS ############
image : rireroll// ça, tu n'en auras pas forcément besoin (d'ailleurs,
ici c'est encore incomplet, la priorisation (QoS) ne fonctionne que
pour les données que j'envoie (upload) mais pas pour le
download.)image : rireroll

echo "[priorisation des connections ssh ...]";
iptables -A PREROUTING -t mangle -p tcp --sport 443 -j TOS --set-tos
Minimize-Delay

echo "[priorisation des connections http ...]";
iptables -A PREROUTING -t mangle -p tcp --sport http -j TOS --set-tos
Maximize-throughput
iptables -A PREROUTING -t mangle -p tcp --sport 3129 -j TOS --set-tos
Maximize-throughput

echo "[priorisation des connections Diablo 2 ...]";
iptables -A PREROUTING -t mangle -p tcp --sport 6112:6119 -j TOS
--set-tos Minimize-Delay
iptables -A PREROUTING -t mangle -p udp --sport 6112:6119 -j TOS
--set-tos Minimize-Delay
iptables -A PREROUTING -t mangle -p tcp --sport 4000 -j TOS --set-tos
Minimize-Delay
iptables -A PREROUTING -t mangle -p udp --sport 4000 -j TOS --set-tos
Minimize-Delay

# Maximum de débit à Diablo 2
iptables -A PREROUTING -t mangle -p tcp --sport 6112:6119 -j TOS
--set-tos Maximize-Throughput
iptables -A PREROUTING -t mangle -p udp --sport 6112:6119 -j TOS
--set-tos Maximize-Throughput
iptables -A PREROUTING -t mangle -p tcp --sport 4000 -j TOS --set-tos
Maximize-Throughput
iptables -A PREROUTING -t mangle -p udp --sport 4000 -j TOS --set-tos
Maximize-Throughput

############################ Fonctionnalités serveurs
#####################################

echo "[Etude des fonctionalités serveurs, visibles depuis internet]"

# A ce stade, tous vos clients du réseau local et de la passerelle ont
accès à internet. Mieux,
# vos clients du réseau local, ont accès à vos serveurs apache,
proftp ... localement. Mais personne
# depuis internet ne peux accéder à l'un des serveurs que vous
hébergez.

# Il est bien-sûr possible de dévérrouiller pontuellement l'accès à un
serveur depuis internet,
# en décommentant les 2 ou 3 lignes correspondantes.

#echo "[autorisation du serveur ssh(22) ...]"
#iptables -A INPUT -p tcp --dport ssh -j ACCEPT

#echo "[autorisation du serveur smtp(25) ...]"
#iptables -A INPUT -p tcp --dport smtp -j ACCEPT

echo "[autorisation du serveur http(80) ...]"
iptables -A INPUT -p tcp --dport www -j ACCEPT

echo "[autorisation du serveur https(443) ...]"
iptables -A INPUT -p tcp --dport 443 -j ACCEPT

#echo "[autorisation du serveur DNS(53) ...]"
#iptables -A INPUT -p udp --dport domain -j ACCEPT
#iptables -A INPUT -p tcp --dport domain -j ACCEPT

#echo "[autorisation du serveur irc(6667) ...]"
#iptables -A INPUT -p tcp --dport ircd -j ACCEPT

#echo "[autorisation du serveur cvs (2401) ...]"
#iptables -A INPUT -p tcp --dport cvspserver -j ACCEPT

#echo "[autorisation du serveur FTP(21 et 20) ...]"
#iptables -A INPUT -p tcp --dport ftp -j ACCEPT
#iptables -A INPUT -p tcp --dport ftp-data -j ACCEPT

# Ne pas décommenter les 3 lignes qui suivent.
# Plus généralement :
#echo "[autorisation du serveur Mon_truc(10584) ...]"
#iptables -A INPUT -p tcp --dport 10584 -j ACCEPT

# Ports visibles depuis l'extérieur pour Freenet :
echo "[autorisation du serveur Freenet (23050/tcp) ...]"
iptables -A INPUT -p tcp --dport 23050 -j ACCEPT

echo "[autorisation du serveur aMule (4662/tcp) ...]"
iptables -A INPUT -p tcp --dport 4662 -j ACCEPT

echo "[autorisation du serveur BitTorrent (6881-6889/tcp) ...]"
iptables -A INPUT -p tcp --dport 6881:6889 -j ACCEPT

echo "[firewall activé !]"
}

firewall_stop() {


iptables -F
iptables -X
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

iptables -t nat -F
iptables -t nat -X
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT

iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P OUTPUT ACCEPT

echo " [firewall descativé!]"
}

firewall_restart() {
firewall_stop
sleep 2
firewall_start
}

case "$1" in
'start')
firewall_start
;;
'stop')
firewall_stop
;;
'restart')
firewall_restart
;;
'status')
iptables -L
iptables -t nat -L
iptables -t mangle -L
;;
*)
echo "Usage: firewall {start|stop|restart|status}"
esac

Le mercredi 28 février 2007 à 18:30 +0100, Jean-Yves F. Barbier a
écrit :

> Le mercredi 28 février 2007 17:57, mess-mate a écrit :
> > Bonjour,
> > le firewall de mon routeur(debian) est le 'arno-iptables-firewall'
> > qui jusqu'à présent donnait pleine satisfaction.
> >
> > Ayant maintenant installé un dmz, celui-ci n'a pas l'air d'être à la
> > page ou c'est moi qui n'arrive pas à le configurer à ce niveau.
> >
> > Quoi qu'il en soit j'adopterais volontiers pour un autre firewall
> > pas trop compliqué (disons facile) car il faut qu'il marche au plus
> > vite afin de remettre mes pages sur le net.
> > De préférence un firewall en mode console.
> > Que me conseillez-vous ?
> > cordialement
> > mess-mate
>
> shorewall (pas mal de HOWTOs, même en fr sur le net)
>
>



--=-OLLDGqVoZf+aS8mGqMnH
Content-Type: text/html; charset=utf-8
Content-Transfer-Encoding: 7bit

<HTML>
<HEAD>
<META HTTP-EQUIV="Content-Type" CONTENT="text/html; CHARSET=UTF-8">
</HEAD>
<BODY>
Ne poussons pas p&#233;p&#232;re dans les orties<BR>
Le fichier que je t'ai mis en pi&#232;ce jointe est &#224; renommer et &#224; copier dans /etc/init.d<BR>
Ensuite faire pointer des liens symbolique dessus, &#224; partir de /etc/rc.xx selon ce que&nbsp; tu veux au d&#233;marrage.<BR>
Je peux te donner + de d&#233;tails si n&#233;cessaire<BR>
L'article de L&#233;a &#233;tait &#224; adapter, vu que la page concerne la Slackware<BR>
Ce script fonctionne parfaitement et je l'ai test&#233; sur des sites de test o&#249; ce firewall a obtenu la meilleure note.<BR>
<BR>
Jer<BR>
<BR>
<BR>
<BR>
<BR>
Le mercredi 28 f&#233;vrier 2007 &#224; 19:57 +0100, jeriop a &#233;crit :<BR>
<BLOCKQUOTE TYPE=CITE>
<FONT COLOR="#000000">Ceci marche bien chez moi</FONT><BR>
<FONT COLOR="#000000">Tout est expliqu&#233; l&#224; :</FONT><BR>
<BR>
<BR>
<BR>
<FONT COLOR="#000000">#!/bin/sh </FONT><BR>
<FONT COLOR="#000000"># Start/stop/restart/status firewall: </FONT><BR>
<BR>
<FONT COLOR="#000000">firewall_start() { </FONT><BR>
<BR>
<FONT COLOR="#000000">echo &quot;[D&#233;marrage du firewall]&quot; </FONT><BR>
<BR>
<FONT COLOR="#000000">############################### REGLES PAR DEFAUT ########################### </FONT><BR>
<BR>
<FONT COLOR="#000000">echo &quot;[Initialisation de la table filter]&quot; </FONT><BR>
<FONT COLOR="#000000">iptables -F </FONT><BR>
<FONT COLOR="#000000">iptables -X </FONT><BR>
<BR>
<FONT COLOR="#000000">echo &quot;[Politique par d&#233;faut de la table filter]&quot; </FONT><BR>
<BR>
<FONT COLOR="#000000"># On ignore tout ce qui entre ou transite par la passerelle </FONT><BR>
<FONT COLOR="#000000">iptables -P INPUT DROP </FONT><BR>
<FONT COLOR="#000000">iptables -P FORWARD DROP </FONT><BR>
<BR>
<FONT COLOR="#000000"># On accepte, ce qui sort </FONT><BR>
<FONT COLOR="#000000">iptables -P OUTPUT ACCEPT </FONT><BR>
<BR>
<FONT COLOR="#000000"># Pour &#233;viter les mauvaises suprises, on va autoriser l'acc&#232;s &#224; la loopback : </FONT><BR>
<FONT COLOR="#000000">iptables -A INPUT -i lo -j ACCEPT </FONT><BR>
<FONT COLOR="#000000">iptables -A OUTPUT -o lo -j ACCEPT </FONT><BR>
<BR>
<FONT COLOR="#000000">############################### LOCAL-INTERNET ########################### </FONT><BR>
<BR>
<FONT COLOR="#000000">echo &quot;[On autorise les clients &#224; acc&#233;der &#224; internet]&quot; </FONT><BR>
<BR>
<FONT COLOR="#000000">#On cr&#233;&#233; une nouvelle cha&#238;ne, le nom est indiff&#233;rent </FONT><BR>
<FONT COLOR="#000000"># appelons-la &quot;local-internet&quot; </FONT><BR>
<FONT COLOR="#000000">iptables -N local-internet </FONT><BR>
<BR>
<FONT COLOR="#000000"># On d&#233;finit le profil de ceux qui appartiendront &#224; &quot;local-internet&quot; </FONT><BR>
<FONT COLOR="#000000"># &quot;local-internet&quot; concerne toutes les connections sauf celles venant d'internet ( ! = non) </FONT><BR>
<FONT COLOR="#000000">iptables -A local-internet -m state --state NEW -i ! ppp0 -j ACCEPT </FONT><BR>
<BR>
<FONT COLOR="#000000">#Evidemment, une fois accept&#233;es comme &quot;local-internet&quot;, les connections peuvent continuer </FONT><BR>
<FONT COLOR="#000000">iptables -A local-internet -m state --state ESTABLISHED,RELATED -j ACCEPT </FONT><BR>
<BR>
<FONT COLOR="#000000"># On termine en indiquant que les connections appartenant &#224; &quot;local-internet&quot; </FONT><BR>
<FONT COLOR="#000000">iptables -A INPUT -j local-internet </FONT><BR>
<FONT COLOR="#000000">iptables -A FORWARD -j local-internet </FONT><BR>
<BR>
<FONT COLOR="#000000">############################### LES TABLES NAT ET MANGLE ############################# </FONT><BR>
<BR>
<FONT COLOR="#000000">echo &quot;[Initialisation des tables nat et mangle]&quot; </FONT><BR>
<BR>
<FONT COLOR="#000000">iptables -t nat -F </FONT><BR>
<FONT COLOR="#000000">iptables -t nat -X </FONT><BR>
<FONT COLOR="#000000">iptables -t nat -P PREROUTING ACCEPT </FONT><BR>
<FONT COLOR="#000000">iptables -t nat -P POSTROUTING ACCEPT </FONT><BR>
<FONT COLOR="#000000">iptables -t nat -P OUTPUT ACCEPT </FONT><BR>
<BR>
<FONT COLOR="#000000">iptables -t mangle -F </FONT><BR>
<FONT COLOR="#000000">iptables -t mangle -X </FONT><BR>
<FONT COLOR="#000000">iptables -t mangle -P PREROUTING ACCEPT </FONT><BR>
<FONT COLOR="#000000">iptables -t mangle -P OUTPUT ACCEPT </FONT><BR>
<BR>
<FONT COLOR="#000000">#################################### LE MASQUERADING ######################################## </FONT><BR>
<BR>
<FONT COLOR="#000000"># Commentez ces 2 lignes, si vous ne fa&#238;tes pas du masquerading (nat) </FONT><BR>
<FONT COLOR="#000000">echo &quot;[Mise en place du masquerading]&quot; </FONT><BR>
<BR>
<FONT COLOR="#000000">################################# ACTIVATION DE LA PASSERELLE ################## </FONT><BR>
<BR>
<FONT COLOR="#000000">echo &quot;[Activation de la passerelle]&quot; </FONT><BR>
<FONT COLOR="#000000">echo 1 &gt; /proc/sys/net/ipv4/ip_forward </FONT><BR>
<BR>
<FONT COLOR="#000000">################################# PAS DE SPOOFING ############################ </FONT><BR>
<BR>
<FONT COLOR="#000000">echo &quot;[Pas de spoofing]&quot; </FONT><BR>
<FONT COLOR="#000000">if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ] ; then </FONT><BR>
<FONT COLOR="#000000">for filtre in /proc/sys/net/ipv4/conf/*/rp_filter </FONT><BR>
<FONT COLOR="#000000">do </FONT><BR>
<FONT COLOR="#000000">echo 1 &gt; $filtre </FONT><BR>
<FONT COLOR="#000000">done </FONT><BR>
<FONT COLOR="#000000">fi </FONT><BR>
<BR>
<FONT COLOR="#000000">########################## PAS DE SYNFLOOD #################### </FONT><BR>
<BR>
<FONT COLOR="#000000">echo &quot;[Pas de synflood]&quot; </FONT><BR>
<FONT COLOR="#000000">if [ -e /proc/sys/net/ipv4/tcp_syncookies ] ; then </FONT><BR>
<FONT COLOR="#000000">echo 1 &gt; /proc/sys/net/ipv4/tcp_syncookies </FONT><BR>
<FONT COLOR="#000000">fi </FONT><BR>
<BR>
<FONT COLOR="#000000">################################## PAS DE PING ############################### </FONT><BR>
<BR>
<FONT COLOR="#000000"># commentez ces 6 lignes, si vous autorisez les pings sur votre passerelle </FONT><BR>
<FONT COLOR="#000000">echo &quot;[Pas ping]&quot; </FONT><BR>
<FONT COLOR="#000000">echo 1 &gt; /proc/sys/net/ipv4/icmp_echo_ignore_all </FONT><BR>
<FONT COLOR="#000000">echo 1 &gt; /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts </FONT><BR>
<FONT COLOR="#000000">if [ -e /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses ] ; then </FONT><BR>
<FONT COLOR="#000000">echo 1 &gt; /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses </FONT><BR>
<FONT COLOR="#000000">fi </FONT><BR>
<BR>
<FONT COLOR="#000000">############# Priorisation de la bande passante et des connections - QoS ############ </FONT><BR>
<BR>
<FONT COLOR="#000000">iptables -A PREROUTING -t mangle -p tcp --sport 443 -j TOS --set-tos Minimize-Delay </FONT><BR>
<BR>
<FONT COLOR="#000000">iptables -A PREROUTING -t mangle -p tcp --sport http -j TOS --set-tos Maximize-throughput </FONT><BR>
<FONT COLOR="#000000">iptables -A PREROUTING -t mangle -p tcp --sport 3129 -j TOS --set-tos Maximize-throughput </FONT><BR>
<BR>
<FONT COLOR="#000000">iptables -A PREROUTING -t mangle -p tcp --sport 6112:6119 -j TOS --set-tos Minimize-Delay </FONT><BR>
<FONT COLOR="#000000">iptables -A PREROUTING -t mangle -p udp --sport 6112:6119 -j TOS --set-tos Minimize-Delay </FONT><BR>
<FONT COLOR="#000000">iptables -A PREROUTING -t mangle -p tcp --sport 4000 -j TOS --set-tos Minimize-Delay </FONT><BR>
<FONT COLOR="#000000">iptables -A PREROUTING -t mangle -p udp --sport 4000 -j TOS --set-tos Minimize-Delay </FONT><BR>
<BR>
<FONT COLOR="#000000"># Maximum de d&#233;bit &#224; Diablo 2 </FONT><BR>
<FONT COLOR="#000000">iptables -A PREROUTING -t mangle -p tcp --sport 6112:6119 -j TOS --set-tos Maximize-Throughput </FONT><BR>
<FONT COLOR="#000000">iptables -A PREROUTING -t mangle -p udp --sport 6112:6119 -j TOS --set-tos Maximize-Throughput </FONT><BR>
<FONT COLOR="#000000">iptables -A PREROUTING -t mangle -p tcp --sport 4000 -j TOS --set-tos Maximize-Throughput </FONT><BR>
<FONT COLOR="#000000">iptables -A PREROUTING -t mangle -p udp --sport 4000 -j TOS --set-tos Maximize-Throughput </FONT><BR>
<BR>
<FONT COLOR="#000000">############################ Fonctionnalit&#233;s serveurs ##################################### </FONT><BR>
<BR>
<FONT COLOR="#000000">echo &quot;[Etude des fonctionalit&#233;s serveurs, visibles depuis internet]&quot; </FONT><BR>
<BR>
<BR>
<FONT COLOR="#000000"># Il est bien-s&#251;r possible de d&#233;v&#233;rrouiller pontuellement l'acc&#232;s &#224; un serveur depuis internet, </FONT><BR>
<BR>
<FONT COLOR="#000000">#iptables -A INPUT -p tcp --dport ssh -j ACCEPT </FONT><BR>
<BR>
<FONT COLOR="#000000">#iptables -A INPUT -p tcp --dport smtp -j ACCEPT </FONT><BR>
<BR>
<FONT COLOR="#000000">iptables -A INPUT -p tcp --dport www -j ACCEPT </FONT><BR>
<BR>
<FONT COLOR="#000000">iptables -A INPUT -p tcp --dport 443 -j ACCEPT </FONT><BR>
<BR>
<FONT COLOR="#000000">#iptables -A INPUT -p udp --dport domain -j ACCEPT </FONT><BR>
<FONT COLOR="#000000">#iptables -A INPUT -p tcp --dport domain -j ACCEPT </FONT><BR>
<BR>
<FONT COLOR="#000000">#iptables -A INPUT -p tcp --dport ircd -j ACCEPT </FONT><BR>
<BR>
<FONT COLOR="#000000">#iptables -A INPUT -p tcp --dport cvspserver -j ACCEPT </FONT><BR>
<BR>
<FONT COLOR="#000000">#iptables -A INPUT -p tcp --dport ftp -j ACCEPT </FONT><BR>
<FONT COLOR="#000000">#iptables -A INPUT -p tcp --dport ftp-data -j ACCEPT </FONT><BR>
<BR>
<FONT COLOR="#000000"># Plus g&#233;n&#233;ralement : </FONT><BR>
<FONT COLOR="#000000">#iptables -A INPUT -p tcp --dport 10584 -j ACCEPT </FONT><BR>
<BR>
<FONT COLOR="#000000"># Ports visibles depuis l'ext&#233;rieur pour Freenet : </FONT><BR>
<FONT COLOR="#000000">iptables -A INPUT -p tcp --dport 23050 -j ACCEPT </FONT><BR>
<BR>
<FONT COLOR="#000000">iptables -A INPUT -p tcp --dport 4662 -j ACCEPT </FONT><BR>
<BR>
<FONT COLOR="#000000">iptables -A INPUT -p tcp --dport 6881:6889 -j ACCEPT </FONT><BR>
<BR>
<FONT COLOR="#000000">echo &quot;[firewall activ&#233; !]&quot; </FONT><BR>
<FONT COLOR="#000000">} </FONT><BR>
<BR>
<FONT COLOR="#000000">firewall_stop() { </FONT><BR>
<BR>
<BR>
<FONT COLOR="#000000">iptables -F </FONT><BR>
<FONT COLOR="#000000">iptables -X </FONT><BR>
<FONT COLOR="#000000">iptables -P INPUT ACCEPT </FONT><BR>
<FONT COLOR="#000000">iptables -P FORWARD ACCEPT </FONT><BR>
<FONT COLOR="#000000">iptables -P OUTPUT ACCEPT </FONT><BR>
<BR>
<FONT COLOR="#000000">iptables -t nat -F </FONT><BR>
<FONT COLOR="#000000">iptables -t nat -X </FONT><BR>
<FONT COLOR="#000000">iptables -t nat -P PREROUTING ACCEPT </FONT><BR>
<FONT COLOR="#000000">iptables -t nat -P POSTROUTING ACCEPT </FONT><BR>
<FONT COLOR="#000000">iptables -t nat -P OUTPUT ACCEPT </FONT><BR>
<BR>
<FONT COLOR="#000000">iptables -t mangle -F </FONT><BR>
<FONT COLOR="#000000">iptables -t mangle -X </FONT><BR>
<FONT COLOR="#000000">iptables -t mangle -P PREROUTING ACCEPT </FONT><BR>
<FONT COLOR="#000000">iptables -t mangle -P OUTPUT ACCEPT </FONT><BR>
<BR>
<FONT COLOR="#000000">echo &quot; [firewall descativ&#233;!]&quot; </FONT><BR>
<FONT COLOR="#000000">} </FONT><BR>
<BR>
<FONT COLOR="#000000">firewall_restart() { </FONT><BR>
<FONT COLOR="#000000">firewall_stop </FONT><BR>
<FONT COLOR="#000000">sleep 2 </FONT><BR>
<FONT COLOR="#000000">firewall_start </FONT><BR>
<FONT COLOR="#000000">} </FONT><BR>
<BR>
<FONT COLOR="#000000">case &quot;$1&quot; in </FONT><BR>
<FONT COLOR="#000000">'start') </FONT><BR>
<FONT COLOR="#000000">firewall_start </FONT><BR>
<FONT COLOR="#000000">;; </FONT><BR>
<FONT COLOR="#000000">'stop') </FONT><BR>
<FONT COLOR="#000000">firewall_stop </FONT><BR>
<FONT COLOR="#000000">;; </FONT><BR>
<FONT COLOR="#000000">'restart') </FONT><BR>
<FONT COLOR="#000000">firewall_restart </FONT><BR>
<FONT COLOR="#000000">;; </FONT><BR>
<FONT COLOR="#000000">'status') </FONT><BR>
<FONT COLOR="#000000">iptables -L </FONT><BR>
<FONT COLOR="#000000">iptables -t nat -L </FONT><BR>
<FONT COLOR="#000000">iptables -t mangle -L </FONT><BR>
<FONT COLOR="#000000">;; </FONT><BR>
<FONT COLOR="#000000">*) </FONT><BR>
<FONT COLOR="#000000">echo &quot;Usage: firewall {start|stop|restart|status}&quot; </FONT><BR>
<FONT COLOR="#000000">esac </FONT><BR>
<BR>
<BLOCKQUOTE TYPE=CITE>
<PRE>
<FONT COLOR="#000000">Le mercredi 28 f&#233;vrier 2007 17:57, mess-mate a &#233;crit&nbsp;:</FONT>
<FONT COLOR="#000000">&gt; Bonjour,</FONT>
<FONT COLOR="#000000">&gt; le firewall de mon routeur(debian) est le 'arno-iptables-firewall'</FONT>
<FONT COLOR="#000000">&gt;</FONT>
<FONT COLOR="#000000">&gt; Ayant maintenant install&#233; un dmz, celui-ci n'a pas l'air d'&#234;tre &#224; la</FONT>
<FONT COLOR="#000000">&gt;</FONT>
<FONT COLOR="#000000">&gt; Quoi qu'il en soit j'adopterais volontiers pour un autre firewall</FONT>
<FONT COLOR="#000000">&gt; pas trop compliqu&#233; (disons facile) car il faut qu'il marche au plus</FONT>
<FONT COLOR="#000000">&gt; Que me conseillez-vous ?</FONT>
<FONT COLOR="#000000">&gt; cordialement</FONT>
<FONT COLOR="#000000">&gt; mess-mate</FONT>

<FONT COLOR="#000000">shorewall (pas mal de HOWTOs, m&#234;me en fr sur le net)</FONT>


</PRE>
</BLOCKQUOTE>
</BLOCKQUOTE>
</BODY>
</HTML>

--=-OLLDGqVoZf+aS8mGqMnH--

--=-xUtuxYO9fRf6hx0fRLRO
Content-Disposition: attachment; filename=firewall_lea.txt
Content-Type: application/x-shellscript; name=firewall_lea.txt
Content-Transfer-Encoding: 8bit

#!/bin/sh
# firewall v1.0.1 Oct 13 09:48:57 PDT 2003 written by : Kernel # Modifié par merlin8282 (je ne sais plus où j'ai pioché l'original mais il y ressemble encore vraiment beaucoup).
# this script is free software according to the GNU General Public License (see [www.gnu.org])
# Start/stop/restart/status firewall:

firewall_start() {

echo "[Démarrage du firewall]"

############################### REGLES PAR DEFAUT ###########################

echo "[Initialisation de la table filter]"
iptables -F
iptables -X

echo "[Politique par défaut de la table filter]"

# On ignore tout ce qui entre ou transite par la passerelle
iptables -P INPUT DROP
iptables -P FORWARD DROP

# On accepte, ce qui sort
iptables -P OUTPUT ACCEPT

# Pour éviter les mauvaises suprises, on va autoriser l'accès à la loopback :
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

############################### LOCAL-INTERNET ###########################

echo "[On autorise les clients à accéder à internet]"

#On créé une nouvelle chaîne, le nom est indifférent
# appelons-la "local-internet"
iptables -N local-internet

# On définit le profil de ceux qui appartiendront à "local-internet"
# "local-internet" concerne toutes les connections sauf celles venant d'internet ( ! = non)
# En gros avec ça, vous rendez, vos serveurs inaccessibles depuis internet.
# Pas de panique, certains serveurs seront autorisés explicitement dans la suite.
# (Remplacer ppp0 en fonction de votre configuration)
iptables -A local-internet -m state --state NEW -i ! ppp0 -j ACCEPT

#Evidemment, une fois acceptées comme "local-internet", les connections peuvent continuer
# et faire des petits :
iptables -A local-internet -m state --state ESTABLISHED,RELATED -j ACCEPT

# On termine en indiquant que les connections appartenant à "local-internet"
# accèdent à internet de manière transparente.
iptables -A INPUT -j local-internet
iptables -A FORWARD -j local-internet

############################### LES TABLES NAT ET MANGLE #############################

echo "[Initialisation des tables nat et mangle]"

iptables -t nat -F
iptables -t nat -X
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT

iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P OUTPUT ACCEPT

############################### LE MASQUERADING #########################

# Commentez ces 2 lignes, si vous ne faîtes pas du masquerading (nat)
#echo "[Mise en place du masquerading]"
#iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -o ppp0 -j MASQUERADE

########################### ACTIVATION DE LA PASSERELLE ##################

#echo "[Activation de la passerelle]"
#echo 1 > /proc/sys/net/ipv4/ip_forward

############################## PAS DE SPOOFING ##########################

echo "[Pas de spoofing]"
if [ -e /proc/sys/net/ipv4/conf/all/rp_filter ] ; then
for filtre in /proc/sys/net/ipv4/conf/*/rp_filter
do
echo 1 > $filtre
done
fi

########################## PAS DE SYNFLOOD ####################

echo "[Pas de synflood]"
if [ -e /proc/sys/net/ipv4/tcp_syncookies ] ; then
echo 1 > /proc/sys/net/ipv4/tcp_syncookies
fi

############################### PAS DE PING ############################

# commentez ces 6 lignes, si vous autorisez les pings sur votre passerelle
echo "[Pas ping]"
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
if [ -e /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses ] ; then
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
fi

############# Priorisation de la bande passante et des connections - QoS ############

echo "[priorisation des connections ssh ...]";
iptables -A PREROUTING -t mangle -p tcp --sport 443 -j TOS --set-tos Minimize-Delay

echo "[priorisation des connections http ...]";
iptables -A PREROUTING -t mangle -p tcp --sport http -j TOS --set-tos Maximize-throughput
iptables -A PREROUTING -t mangle -p tcp --sport 3129 -j TOS --set-tos Maximize-throughput

############################ Fonctionnalités serveurs #####################################

echo "[Etude des fonctionalités serveurs, visibles depuis internet]"

# A ce stade, tous vos clients du réseau local et de la passerelle ont accès à internet. Mieux,
# vos clients du réseau local, ont accès à vos serveurs apache, proftp ... localement. Mais personne
# depuis internet ne peux accéder à l'un des serveurs que vous hébergez.

# Il est bien-sûr possible de dévérrouiller pontuellement l'accès à un serveur depuis internet,
# en décommentant les 2 ou 3 lignes correspondantes.

#echo "[autorisation du serveur ssh(22) ...]"
#iptables -A INPUT -p tcp --dport ssh -j ACCEPT

#echo "[autorisation du serveur smtp(25) ...]"
#iptables -A INPUT -p tcp --dport smtp -j ACCEPT

#echo "[autorisation du serveur http(80) ...]"
#iptables -A INPUT -p tcp --dport www -j ACCEPT

#echo "[autorisation du serveur https(443) ...]"
#iptables -A INPUT -p tcp --dport 443 -j ACCEPT

#echo "[autorisation du serveur DNS(53) ...]"
#iptables -A INPUT -p udp --dport domain -j ACCEPT
#iptables -A INPUT -p tcp --dport domain -j ACCEPT

#echo "[autorisation du serveur irc(6667) ...]"
#iptables -A INPUT -p tcp --dport ircd -j ACCEPT

#echo "[autorisation du serveur cvs (2401) ...]"
#iptables -A INPUT -p tcp --dport cvspserver -j ACCEPT

#echo "[autorisation du serveur FTP(21 et 20) ...]"
#iptables -A INPUT -p tcp --dport ftp -j ACCEPT
#iptables -A INPUT -p tcp --dport ftp-data -j ACCEPT

# Ne pas décommenter les 3 lignes qui suivent.
# Plus généralement :
#echo "[autorisation du serveur Mon_truc(10584) ...]"
#iptables -A INPUT -p tcp --dport 10584 -j ACCEPT

#echo "[autorisation du serveur aMule (4662/tcp) ...]"
#iptables -A INPUT -p tcp --dport 4662 -j ACCEPT

#echo "[autorisation du serveur BitTorrent (6881-6889/tcp) ...]"
#iptables -A INPUT -p tcp --dport 6881:6889 -j ACCEPT

echo "[firewall activé !]"
}

firewall_stop() {


iptables -F
iptables -X
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT

iptables -t nat -F
iptables -t nat -X
iptables -t nat -P PREROUTING ACCEPT
iptables -t nat -P POSTROUTING ACCEPT
iptables -t nat -P OUTPUT ACCEPT

iptables -t mangle -F
iptables -t mangle -X
iptables -t mangle -P PREROUTING ACCEPT
iptables -t mangle -P OUTPUT ACCEPT

echo " [firewall descativé!]"
}

firewall_restart() {
firewall_stop
sleep 2
firewall_start
}

case "$1" in
'start')
firewall_start
;;
'stop')
firewall_stop
;;
'restart')
firewall_restart
;;
'status')
iptables -L
iptables -t nat -L
iptables -t mangle -L
;;
*)
echo "Usage: firewall {start|stop|restart|status}"
esac

--=-xUtuxYO9fRf6hx0fRLRO--



--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
fabrice régnier
Le #9518631
> shorewall (pas mal de HOWTOs, même en fr sur le net)


pareil ici, shorewall m'évite de comprendre toutes les rêgles iptables
qui me dépassent un peu.
Avec shorewall, j'ai retrouvé la santé, je passe plus de temps avec mes
copines et mes cheveux sont plus brillants !

Ok, je monte dans ma chambre :)

f.


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
mess-mate
Le #9518281
Jean-Yves F. Barbier | Le mercredi 28 février 2007 17:57, mess-mate a écrit :
| > Bonjour,
| > le firewall de mon routeur(debian) est le 'arno-iptables-firewall'
| > qui jusqu'à présent donnait pleine satisfaction.
| >
| > Ayant maintenant installé un dmz, celui-ci n'a pas l'air d'être à la
| > page ou c'est moi qui n'arrive pas à le configurer à ce niveau.
| >
| > Quoi qu'il en soit j'adopterais volontiers pour un autre firewall
| > pas trop compliqué (disons facile) car il faut qu'il marche au plus
| > vite afin de remettre mes pages sur le net.
| > De préférence un firewall en mode console.
| > Que me conseillez-vous ?
| > cordialement
| > mess-mate
|
| shorewall (pas mal de HOWTOs, même en fr sur le net)
|
|
Merci à tous.
J'ai temporairement adopté shorewall pour le routeur/firewall/proxy.
J'ai cependant des problèmes pour que l'on puisse accéder de
l'extérieur à mon serveur dans le dmz.
Quelqu'un pourrait me mettre sur la voie ?
cordialement
mess-mate
--

She is not refined. She is not unrefined. She keeps a parrot.
-- Mark Twain
Laurent Vallar - aka Val
Le #9518021
On Thu,Mar,01,2007, mess-mate wrote:
[...]
> shorewall (pas mal de HOWTOs, même en fr sur le net)
[...]
J'ai temporairement adopté shorewall pour le routeur/firewall/proxy.
J'ai cependant des problèmes pour que l'on puisse accéder de
l'extérieur à mon serveur dans le dmz.
Quelqu'un pourrait me mettre sur la voie ?




Cherche REDIRECT dans les commentaires du fichiers rules en exemple

dpkg -L shorewall |grep /rules$ | less
/REDIRECT

Cordialement,
Val.

--
.''`.
: :' : Laurent Vallar - aka Val - Network & System Staff Engineer
`. `' GPG Key: 1024D/C4F38417 - http://www.zbla.net
`-


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
mess-mate
Le #9517921
Laurent Vallar - aka Val | On Thu,Mar,01,2007, mess-mate wrote:
| > [...]
| > > shorewall (pas mal de HOWTOs, même en fr sur le net)
| > [...]
| > J'ai temporairement adopté shorewall pour le routeur/firewall/proxy .
| > J'ai cependant des problèmes pour que l'on puisse accéder de
| > l'extérieur à mon serveur dans le dmz.
| > Quelqu'un pourrait me mettre sur la voie ?
| >
|
| Cherche REDIRECT dans les commentaires du fichiers rules en exemple
|
| dpkg -L shorewall |grep /rules$ | less
| /REDIRECT
|
Voici :
REDIRECT loc 3128 tcp 80 # pour mon proxy
mais aussi:
DNAT net dmz:192.168.30.1 tcp 80 - $ETH0_IP
ajuoté selon la doc pour des IP dynamique.


mess-mate
--

Truth is the most valuable thing we have -- so let us economize it.
-- Mark Twain
krusaf
Le #9517871
mess-mate wrote:

Bonjour,
le firewall de mon routeur(debian) est le 'arno-iptables-firewall'
qui jusqu'à présent donnait pleine satisfaction.

Ayant maintenant installé un dmz, celui-ci n'a pas l'air d'être à la
page ou c'est moi qui n'arrive pas à le configurer à ce niveau.

Quoi qu'il en soit j'adopterais volontiers pour un autre firewall
pas trop compliqué (disons facile) car il faut qu'il marche au plus
vite afin de remettre mes pages sur le net.
De préférence un firewall en mode console.
Que me conseillez-vous ?
cordialement
mess-mate



Regarde si firestarter existe dans les packages. Je l'utilise ous ubuntu il
est très simplissime.

--
http://krusaf.org/blog/


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Franck Joncourt
Le #9517831
--Qxx1br4bt0+wmkIi
Content-Type: text/plain; charset=utf-8
Content-Disposition: inline
Content-Transfer-Encoding: quoted-printable

On Fri, Mar 02, 2007 at 07:35:32PM +0100, krusaf wrote:
mess-mate wrote:

> Bonjour,
> le firewall de mon routeur(debian) est le 'arno-iptables-firewall'
> qui jusqu'à présent donnait pleine satisfaction.
>
> Ayant maintenant installé un dmz, celui-ci n'a pas l'air d'êt re à la
> page ou c'est moi qui n'arrive pas à le configurer à ce nivea u.
>
> Quoi qu'il en soit j'adopterais volontiers pour un autre firewall
> pas trop compliqué (disons facile) car il faut qu'il marche au plus
> vite afin de remettre mes pages sur le net.
> De préférence un firewall en mode console.
> Que me conseillez-vous ?
> cordialement
> mess-mate

Regarde si firestarter existe dans les packages. Je l'utilise ous ubuntu il
est très simplissime.



J'ai jamais essaye, mais jete aussi un coup d'oeil sur guarddog.

--
Franck Joncourt
http://www.debian.org
http://smhteam.info/wiki/
GPG server : pgpkeys.mit.edu
Fingerprint : C10E D1D0 EF70 0A2A CACF 9A3C C490 534E 75C0 89FE

--Qxx1br4bt0+wmkIi
Content-Type: application/pgp-signature; name="signature.asc"
Content-Description: Digital signature
Content-Disposition: inline

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.6 (GNU/Linux)

iD8DBQFF6H9fxJBTTnXAif4RAkKiAKC4ue4uuXzkd7rwQc24afE3r2d5nQCfY1R1
ZClIBpTNVgCDSZGWfF3juF4 =8NLK
-----END PGP SIGNATURE-----

--Qxx1br4bt0+wmkIi--


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
anto
Le #9516881
mess-mate a écrit :
Bonjour,
le firewall de mon routeur(debian) est le 'arno-iptables-firewall'
qui jusqu'à présent donnait pleine satisfaction.

Ayant maintenant installé un dmz, celui-ci n'a pas l'air d'être à la
page ou c'est moi qui n'arrive pas à le configurer à ce niveau.

Quoi qu'il en soit j'adopterais volontiers pour un autre firewall
pas trop compliqué (disons facile) car il faut qu'il marche au plus
vite afin de remettre mes pages sur le net.
De préférence un firewall en mode console.
Que me conseillez-vous ?
cordialement
mess-mate



Euh, question stupide ... Pourquoi ne pas essayer une distro dédiée ?
Genre IpCop, Smoothwall et j'en passe ...
Le gros avantage de ces distros, c'est qu'elles te permettent une
administration assez simple.
Et surtout, elles ont été développées pour ça !!!
:)


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Publicité
Poster une réponse
Anonyme