[FreeBSD] NAT et Firewall
Le
Gerald Niel
Bonjour,
Je tente de mettre en place un firewall sur ma passerelle freebsd
toute neuve Mais je coince.
J'ai essayé d'appliquer ce qui est exposé ici:
http://www.freebsd-fr.org/doc/fr/bo...ticle.html
Mais dans ce cas si le dialogue est possible entre les machine,
impossible d'accèder à l'exterieur depuis une machine du réseau (mon
linux en l'occurence) même les requettes sur des ip (sans passer par
le dns) échouent.
J'ai aussi parcouru les archives sur Google où je suis tombé sur des
articles disant que ppp pouvait se charger du firewall. J'utilise
actuellement ppp pour la nat.
Mais je n'ai très franchement pas tout compris
Dans un premier temps, je veux juste permettre au machines d'acceder à
internet et interdire l'accès de l'exterieur. Eventuellement un peu
plus tard, lorsque j'aurrais correctement assimilé la chose ouvrir
quelques services ou les rediriger (80 et 119).
Quant-au port 22 j'aimerais le rediriger (depuis l'exterieur du
réseau) vers ma machine linux.
Je suis preneur de quelques indications ou précision me permettant de
résoudre mon problème et surtout de comprendre le mécanisme.
Bref bizarre car il semble que l'article dont je fait référence a
été utilisé avec succès d'après les archives de ce groups sur google.
Je dois donc faire une erreur quelque part.
Autre chose, concernant la localisation (voir mon article sur le
sujet) si vous avez des liens ou des indications sur la façon de
configurer la console pour les caractères iso-8859-15 ainsi que la
façon d'automatiser ça proprement. J'ai parcouru le chapitre à ce
sujet dans le Handbook mais il y a encore quelques zone d'ombre.
Ah et précision, j'accede à la passerelle depuis un xterm sous
Linux au cas où.
@+
--
> Ce message est le premier appel appel à discussion en vue de la
> création de la hiérarchie fr.internet.*
fr.comp.os.linux.internet.* ou fr.internet.comp.os.linux.*?
-+- Arnaud in guide du linuxien pervers - "Bien configurer fr.*"
Je tente de mettre en place un firewall sur ma passerelle freebsd
toute neuve Mais je coince.
J'ai essayé d'appliquer ce qui est exposé ici:
http://www.freebsd-fr.org/doc/fr/bo...ticle.html
Mais dans ce cas si le dialogue est possible entre les machine,
impossible d'accèder à l'exterieur depuis une machine du réseau (mon
linux en l'occurence) même les requettes sur des ip (sans passer par
le dns) échouent.
J'ai aussi parcouru les archives sur Google où je suis tombé sur des
articles disant que ppp pouvait se charger du firewall. J'utilise
actuellement ppp pour la nat.
Mais je n'ai très franchement pas tout compris
Dans un premier temps, je veux juste permettre au machines d'acceder à
internet et interdire l'accès de l'exterieur. Eventuellement un peu
plus tard, lorsque j'aurrais correctement assimilé la chose ouvrir
quelques services ou les rediriger (80 et 119).
Quant-au port 22 j'aimerais le rediriger (depuis l'exterieur du
réseau) vers ma machine linux.
Je suis preneur de quelques indications ou précision me permettant de
résoudre mon problème et surtout de comprendre le mécanisme.
Bref bizarre car il semble que l'article dont je fait référence a
été utilisé avec succès d'après les archives de ce groups sur google.
Je dois donc faire une erreur quelque part.
Autre chose, concernant la localisation (voir mon article sur le
sujet) si vous avez des liens ou des indications sur la façon de
configurer la console pour les caractères iso-8859-15 ainsi que la
façon d'automatiser ça proprement. J'ai parcouru le chapitre à ce
sujet dans le Handbook mais il y a encore quelques zone d'ombre.
Ah et précision, j'accede à la passerelle depuis un xterm sous
Linux au cas où.
@+
--
> Ce message est le premier appel appel à discussion en vue de la
> création de la hiérarchie fr.internet.*
fr.comp.os.linux.internet.* ou fr.internet.comp.os.linux.*?
-+- Arnaud in guide du linuxien pervers - "Bien configurer fr.*"
Poser une question
fr.comp.os.bsd :
4.8
Pour l'instant... pas de firewall, c'est bien ça le problème.
Bah... j'avais essayer le script dont j'ai donné l'url (ipfw) mais à
priori je foire un truc.
Idem chez moi.
Ça c'est pour faire tourner un serveur DNS ?
À priori pas besoin dans un premier temps, si ?
J'ai aussi
Je vais essayer...
C'est là que je fais peut être confusion...
tun0 est l'interface adsl
et chez moi la carte réseau relié au switch est rl0 (rl1 au modem).
Question: quand on parle de l'interface réseau, on parle bien de
l'interface reliè au réseau local ?
Ok, ça je comprend.
Là je veux bien quelques explications... on bloque le traffic entrant
sur l'interface adsl depuis le réseau local vers l'exterieur, c'est ça ?
N'est-ce pas redondant avec la première règle ?
Que signifie quick ?
(entre temps je vais probablement chercher...)
Là je crois comprendre.
Là je veux bien quelques explications aussi histoire de pas copier
bettement et comprendre.
Le nat est déjà fonctionnel, pas le firewall, c'est ça le problème.
PS. t'as un problème avec le clavier ? ;o)
@+
--
HB: Quant à Linux [..] trés bon système d'exploitation, mais difficile
HB: à implanter en entreprise, pour des raisons non techniques.
Dont celle-ci : Le singe préfère la voiture rouge.
-+- MB, in Guide du linuxien pervers - "Bien configurer son singe" -+-
le 20/07/2003 à 16:11, Gerald Niel a écrit
dans le message
Non.
[...]
Ici oui, c'est ce qu'il veut dire.
block in on tunX
celle-ci ne sert à rien.
En revanche, les autres avec « quick » servent. Lorsque tu utilises
« quick » si une des règles correspond, le filtre est appliqué et les
autres règle ne sont pas évaluées.
C'est à dire que si tu as un paquet qui dit provenir d'une adresse
privée, par exemple 192.168.0.1, celui-ci va faire ce chemin :
block in all -> devra être rejeté
block out all -> ne correspond pas
block in on tunX -> devra être rejeté
block in quick on tunX from 192.168.0.0/16 to any -> rejeté et on arrête
d'évaluer, on passe au paquet suivant.
Ne sert à rien.
on laisse tout passer sur le reseau interne.
même chose sur l'interface local (127.0.0.1)
On laisse passer tout ce qui sort sur tunX en protocol TCP ou UDP et on
garde l'état (stateful).
flags S veut dire que l'on regarde si le le flag SYN est mis.
on accepte les paquets TCP avec le flag SYN sur tunX de n'importe où sur
le port 1723 et on garde l'état.
on laisse passer tout ce qui est en protocole gre sur tunX et on garde
l'état.
--
Benoit Izac
le 20/07/2003 à 17:09, Gerald Niel a écrit
dans le message
# tun0 est ton interface sur Internet, c'est différent de rl1. Tu dois
# laisser tout passer entre rl1 et le modem :
pass in quick on rl1
pass out quick on rl1
# 10/8, 172.16/12 et 192.168/16 sont réservés pour les réseaux privés,
# ces adresses ne doivent en aucun cas arriver d'Internet :
block in quick on tun0 from 10.0.0.0/8 to any
block in quick on tun0 from 172.16.0.0/12 to any
block in quick on tun0 from 192.168.0.0/16 to any
[...]
RTFM ;) man gre(4)
--
Benoit Izac
fr.comp.os.bsd :
[snip]
Merci.
LOL !
Par contre je viens de faire une tentative...
ipfstat -hio
open: Device not configured
ipf -Fa -f /etc/ipf.rules
open device: Device not configured
ioctl(SIOCIPFFL): Bad file descriptor
open device: Device not configured
J'ai loupé un truc ?
@+
--
Ben non, c'est tout de meme un sport très intéressant et original. ET
fr.rec.neige permet aussi de parler de la reproduction des pingouins,
ce qui concerne pas mal de participants de ce groupe.
-+- YP in Guide du linuxien pervers - "Oui à fr.comp.os.linux.snowboard !"
fr.comp.os.bsd :
Il me semble que ce ne me soit pas utile, je me trompe ?
@+
--