firewall sous linux - debutant
Le
tagada
Bonjour a tous
je souhaiterai installer un firewall pour ma boite (si, si totalement
inexistant aujourd'hui;-))
pour le moment les pc sont partages en postes a postes sous windows avec une
config comme ca :
PC-switch-routeur-modem ADSL
!
PC
Nous souhaitons monter un reseau digne de ce nom donc achat d'un serveur (je
risque d'ailleurs de reposer d'autres questions par la suite)
Dans un premier temps : installer un Firewall
L'idée est de mettre une machine qui restera par la suite.
J'ai actuellement un celeron 300MHz 64Mo RAM a dispostion + achat prévu d'un
onduleur (d'ailleurs si vous avez des conseils, désolé je sais ce n'est pas
le bon forum)
1. Est-ce suffisant ? sinon que faut-il au minimum
Nous souhaiterions mettre un linux dessus avec juste un firewall
2. Est-ce une bonne idee ?
Que me conseillez vous comme version de linux et firewall
3. Où mettre ce firewall ?
avant le routeur?
PC-switch--firewallrouteur-modem ADSL
!
PC
Après ?
PC-switch--routeurfirewall-modem ADSL
!
PC
Sachant que le serveur sera j'imagine par la suite branche sur le swith ?
Sinon avez vous des URL a me proposer sur ce sujet ?
(installation de firewall, reseau, achat de materiel,)
Merci d'avance de vos reponses, je viens de m'en occuper et c'est un peu le
bazar, il y a tout a faire.
J'ai déjà travaillé sur de l'existant mais je n'ai jamais tout monté de A à
Z. et j'avoue ne me suis pas pose toutes ces questions auparavant ;-)
cordialement
tagada
je souhaiterai installer un firewall pour ma boite (si, si totalement
inexistant aujourd'hui;-))
pour le moment les pc sont partages en postes a postes sous windows avec une
config comme ca :
PC-switch-routeur-modem ADSL
!
PC
Nous souhaitons monter un reseau digne de ce nom donc achat d'un serveur (je
risque d'ailleurs de reposer d'autres questions par la suite)
Dans un premier temps : installer un Firewall
L'idée est de mettre une machine qui restera par la suite.
J'ai actuellement un celeron 300MHz 64Mo RAM a dispostion + achat prévu d'un
onduleur (d'ailleurs si vous avez des conseils, désolé je sais ce n'est pas
le bon forum)
1. Est-ce suffisant ? sinon que faut-il au minimum
Nous souhaiterions mettre un linux dessus avec juste un firewall
2. Est-ce une bonne idee ?
Que me conseillez vous comme version de linux et firewall
3. Où mettre ce firewall ?
avant le routeur?
PC-switch--firewallrouteur-modem ADSL
!
PC
Après ?
PC-switch--routeurfirewall-modem ADSL
!
PC
Sachant que le serveur sera j'imagine par la suite branche sur le swith ?
Sinon avez vous des URL a me proposer sur ce sujet ?
(installation de firewall, reseau, achat de materiel,)
Merci d'avance de vos reponses, je viens de m'en occuper et c'est un peu le
bazar, il y a tout a faire.
J'ai déjà travaillé sur de l'existant mais je n'ai jamais tout monté de A à
Z. et j'avoue ne me suis pas pose toutes ces questions auparavant ;-)
cordialement
tagada
Poser une question
Oui.
Et pourquoi pas du FreeBSD ? La doc n'est pas terminée, et certains
paramètres sont à ajuster, mais tu peux jeter un oeil sur la préversion
Juste un détail sémantique, généralement on parle en suivant le chemin
des données entrantes. Donc sur ce schéma le firewall est placé *après*
le routeur.
Le mieux ça reste encore de faire un trois pattes classique :
Ca te permettra d'isoler clairement les deux zones de ton réseau. D'un
côté la DMZ avec le(s) serveur(s), de l'autre le LAN avec les postes de
travail.
--
"Si ceux qui disent du mal de moi savaient exactement ce que je
pense d'eux , ils en diraient bien davantage."
Sacha Guitry
Y'a t'il un firewall integre à cette version ou faut-il en installer un
supplementaire
Désolé j'ai pas tout compris, tu pourrais m'éclairer. 3 pattes?
Encore merci des réponses, je suis deja soulage de garder mon celeron
cordialement
tagada
ok
32mo suffis amplement
Sous OpenBSD il y a Packet Filter , un puissant Firewall Statfull.
Tu trouveras plus d'information sur www.openbsd-edu.net
avant le routeur? Oui
192.168.200.0/24 !200.254 <IP Public>
PC------------switch-----------------fw
OpenBSD+pf+Nat---------------------------routeur-----------------modem ADSL
! |
PC
|____________________________
|
|!0.254 (192.168.0.0/24 ) |
DMZ |_ |
_______ Serveur 0.1 _| DMZ
Ton réseau aura 3 sous réseau :
192.168.0.0/24--->DMZ : ton serveur
192.168.100.0/24--> ton réseau local
192.168.200.0/24-->Entre le Fw et le routeur.
le firewall servira comme passerelle en routant vers le routeur
mettre en place
une DMZ (De-Militarized Zone ), ainsi ton firewall aura 3 cartes réseaux,
1 patte pour le routeur, 1 pour ton réseau local et une pour ton serveur.
Dans le cas ou c exclusivement en local, le mettre sur le switch suffis
emplement.
et
http://www.openbsd-edu.net/nat.html
--
www.lessaid.org #x pfctl -e -R -f /etc/pub.pf
Euh... Va jeter un coup d'oeil à la dite documentation, tu n'as
visiblement pas compris de quoi il s'agit exactement.
[Snip]
Trois interfaces réseaux si tu préfères. L'une raccordée à la DMZ et
donc aux serveurs qui s'y trouvent, l'une raccordée au LAN et donc aux
postes de travail, et la dernière raccordée au vaste monde.
--
"Si ceux qui disent du mal de moi savaient exactement ce que je
pense d'eux , ils en diraient bien davantage."
Sacha Guitry
[snip]
Fait ça simple.
Tu prend un machine un peu plus grosse ( ou tu rajoute de la ram peut être
ça suffit ) tu lui met deux interfaces ( deux cartes réseau quoi =). Cette
machine fera à la fois routeur, firewall et serveur.
[PC]---+
|
[PC]-[hub]--[routeur, serveur, firewall]--[modem adsl]
|
[PC]---+
Donc tu as deux interfaces sur ta machine du milieu. Disont que l'interface
1 est vers le réseaux local et que la 2 est vers ton modem.
Tu met un petit linux avec apache pour ton serveur ( bind apache sur
l'interface 2 biensur ), tu configure le routage, ensuite, tu règle ton
firewall correctement c'est à dire qu'en gros tu interdit toute tentative de
connection de 2 vers 1, ansi que les requetes icmp ( voir firewall how-to
sur google ). Selon la fréquentation du site, ta petite machine fera
largement l'affaire.
Si tu as des services que tu souhaite faire tourner sur le serveur ( ftp ?
telnet ? ) essayes de les binder uniquement sur l'interface 1.
Mais au fait, t'a plusieurs ip ou ton ancien routeur faisait nat aussi ?
Peut importe, tu peut refaire le nat aussi sur ta nouvelle machine.
-- Nicolas Repiquet