Besoin de conseils pour firewall

Jonathan ILIAS

12/10/2004 à 14:10

Corsinux wrote:

Mes questions :
1) tout d'abord, sachant que je compte faire tourner une Woody avec un
kernel 2.4.27, est-ce une machine suffisante ? (pas de X, pas de serveu r
dhcp, juste ssh pour la controler depuis mon autre ordinateur)

Avec mon peu d'expérience et au flair, je pense que la configuration es t
suffisante. A mon avis, il faut juste ne pas demander de filtrage trop
complexe à Netfilter. Mais si la machine ne fait effectivement que ce
que tu dis, ça devrait largement aller.

2) j'envisage de partitionner mon disque de la manière suivante :
- / => env. 500Mo,
- /usr => env. 1.5Go,
- /home (en ai-je vraiment besoin?) => env 100Mo,
- /swap => 96Mo (2*RAM),
- /var => le reste soit environ 2.1Go.
Un partitionnement tel que celui-ci est-il valable ?

Cela me paraît pas mal, peut-être même surdimensionné par certain s
cotés. Pour info, voici un petit "df" sur ma passerelle qui fait aussi
office de serveur "couteau suisse" (web/php/mysql, mail, bouncer IRC,
serveur Jabber, serveur CVS, serveur de fichiers, ...) :

$ df -h
Filesystem Size Used Avail Use% Mounted on
/dev/hda7 99M 45M 49M 48% /
/dev/hda2 30M 5.8M 23M 20% /boot
/dev/hda5 2.0G 1.1G 843M 57% /usr
/dev/hda6 1.5G 824M 611M 58% /home
/dev/hda8 99M 56M 37M 60% /var
/dev/hda9 53M 5.0M 45M 10% /tmp

Dans ton cas, il est même souhaitable de monter un maximum de système s
de fichiers en lecture seule (ceux en lecture/écriture étant réduit s à
leur taille minimum, comme 100 Mo pour le /var par exemple).
Cela devrait se faire sans problème pour /usr. Pour le /, j'ai déjà
essayé avec la woody, autant dire que c'est impossible.
J'en profite donc pour poser la question à la liste : je sais qu'il
était question qu'il devienne possible de mounter / en lecture seule
dans les prochaines version de Debian. Est-ce le cas pour la Sarge ?

3) depuis mon poste "client", je voudrais utiliser :
- le mail (client pop et smtp)
- l'irc
- gtk-gnutella (mais là je sais quel port ouvrir)
- le ftp (pour apt-get et consors)
Quels sont les modules que je dois impérativement charger sur la
passerelle afin de naviguer sereinement ?

ip_conntrack_irc et ip_conntrack_ftp...

... et la configuration d'iptables qui va bien

--
Jonathan ILIAS

Corsinux wrote:

Mes questions :
1) tout d'abord, sachant que je compte faire tourner une Woody avec un
kernel 2.4.27, est-ce une machine suffisante ? (pas de X, pas de serveu r
dhcp, juste ssh pour la controler depuis mon autre ordinateur)

Avec mon peu d'expérience et au flair, je pense que la configuration es t
suffisante. A mon avis, il faut juste ne pas demander de filtrage trop
complexe à Netfilter. Mais si la machine ne fait effectivement que ce
que tu dis, ça devrait largement aller.

2) j'envisage de partitionner mon disque de la manière suivante :
- / => env. 500Mo,
- /usr => env. 1.5Go,
- /home (en ai-je vraiment besoin?) => env 100Mo,
- /swap => 96Mo (2*RAM),
- /var => le reste soit environ 2.1Go.
Un partitionnement tel que celui-ci est-il valable ?

Cela me paraît pas mal, peut-être même surdimensionné par certain s
cotés. Pour info, voici un petit "df" sur ma passerelle qui fait aussi
office de serveur "couteau suisse" (web/php/mysql, mail, bouncer IRC,
serveur Jabber, serveur CVS, serveur de fichiers, ...) :

$ df -h
Filesystem Size Used Avail Use% Mounted on
/dev/hda7 99M 45M 49M 48% /
/dev/hda2 30M 5.8M 23M 20% /boot
/dev/hda5 2.0G 1.1G 843M 57% /usr
/dev/hda6 1.5G 824M 611M 58% /home
/dev/hda8 99M 56M 37M 60% /var
/dev/hda9 53M 5.0M 45M 10% /tmp

Dans ton cas, il est même souhaitable de monter un maximum de système s
de fichiers en lecture seule (ceux en lecture/écriture étant réduit s à
leur taille minimum, comme 100 Mo pour le /var par exemple).
Cela devrait se faire sans problème pour /usr. Pour le /, j'ai déjà
essayé avec la woody, autant dire que c'est impossible.
J'en profite donc pour poser la question à la liste : je sais qu'il
était question qu'il devienne possible de mounter / en lecture seule
dans les prochaines version de Debian. Est-ce le cas pour la Sarge ?

3) depuis mon poste "client", je voudrais utiliser :
- le mail (client pop et smtp)
- l'irc
- gtk-gnutella (mais là je sais quel port ouvrir)
- le ftp (pour apt-get et consors)
Quels sont les modules que je dois impérativement charger sur la
passerelle afin de naviguer sereinement ?

ip_conntrack_irc et ip_conntrack_ftp...

... et la configuration d'iptables qui va bien

--
Jonathan ILIAS

Vous avez filtré cet utilisateur ! Consultez son message

Corsinux wrote:

Mes questions :
1) tout d'abord, sachant que je compte faire tourner une Woody avec un
kernel 2.4.27, est-ce une machine suffisante ? (pas de X, pas de serveu r
dhcp, juste ssh pour la controler depuis mon autre ordinateur)

Avec mon peu d'expérience et au flair, je pense que la configuration es t
suffisante. A mon avis, il faut juste ne pas demander de filtrage trop
complexe à Netfilter. Mais si la machine ne fait effectivement que ce
que tu dis, ça devrait largement aller.

2) j'envisage de partitionner mon disque de la manière suivante :
- / => env. 500Mo,
- /usr => env. 1.5Go,
- /home (en ai-je vraiment besoin?) => env 100Mo,
- /swap => 96Mo (2*RAM),
- /var => le reste soit environ 2.1Go.
Un partitionnement tel que celui-ci est-il valable ?

Cela me paraît pas mal, peut-être même surdimensionné par certain s
cotés. Pour info, voici un petit "df" sur ma passerelle qui fait aussi
office de serveur "couteau suisse" (web/php/mysql, mail, bouncer IRC,
serveur Jabber, serveur CVS, serveur de fichiers, ...) :

$ df -h
Filesystem Size Used Avail Use% Mounted on
/dev/hda7 99M 45M 49M 48% /
/dev/hda2 30M 5.8M 23M 20% /boot
/dev/hda5 2.0G 1.1G 843M 57% /usr
/dev/hda6 1.5G 824M 611M 58% /home
/dev/hda8 99M 56M 37M 60% /var
/dev/hda9 53M 5.0M 45M 10% /tmp

Dans ton cas, il est même souhaitable de monter un maximum de système s
de fichiers en lecture seule (ceux en lecture/écriture étant réduit s à
leur taille minimum, comme 100 Mo pour le /var par exemple).
Cela devrait se faire sans problème pour /usr. Pour le /, j'ai déjà
essayé avec la woody, autant dire que c'est impossible.
J'en profite donc pour poser la question à la liste : je sais qu'il
était question qu'il devienne possible de mounter / en lecture seule
dans les prochaines version de Debian. Est-ce le cas pour la Sarge ?

3) depuis mon poste "client", je voudrais utiliser :
- le mail (client pop et smtp)
- l'irc
- gtk-gnutella (mais là je sais quel port ouvrir)
- le ftp (pour apt-get et consors)
Quels sont les modules que je dois impérativement charger sur la
passerelle afin de naviguer sereinement ?

ip_conntrack_irc et ip_conntrack_ftp...

... et la configuration d'iptables qui va bien

--
Jonathan ILIAS

justice8

12/10/2004 à 14:20

Bonjour,

Jonathan ILIAS wrote:

Corsinux wrote:
[...]

Dans ton cas, il est même souhaitable de monter un maximum de systèmes
de fichiers en lecture seule (ceux en lecture/écriture étant réduits à
leur taille minimum, comme 100 Mo pour le /var par exemple).

AMHA Je pense plutôt qu'il faille laisser de la marge pour /var, afin
que les logs puissent être générés sans encombre, et aussi une petite
tâche "cronnée" pour purger les vieux logs inutiles.

[...]

J8.

--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact

Jean-Luc Coulon (f5ibh)

12/10/2004 à 14:30

--=-wJDu+uEbO0LOJyZDT2JV
Content-Type: text/plain; charset=ISO-8859-1; DelSp=Yes; Format=Flowed
Content-Disposition: inline
Content-Transfer-Encoding: quoted-printable

Le 12.10.2004 14:16:54, justice8 a écrit :

Bonjour,

Jonathan ILIAS wrote:

Corsinux wrote:
[...]

Dans ton cas, il est même souhaitable de monter un maximum de
systèmes de fichiers en lecture seule (ceux en lecture/écriture
étant réduits à leur taille minimum, comme 100 Mo pour le /var par
exemple).

AMHA Je pense plutôt qu'il faille laisser de la marge pour /var, afin
que les logs puissent être générés sans encombre, et aussi une pe tite
tâche "cronnée" pour purger les vieux logs inutiles.

Ce qui explique aussi pourquoi /var ne peut pas être monté ro.
logrotate peut très bien faire le ménage dans les logs. Il suffit de le
paramétrer correctement.

[...]

J8.

Jean-Luc

--=-wJDu+uEbO0LOJyZDT2JV
Content-Type: application/pgp-signature

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.5 (GNU/Linux)

iD8DBQBBa80qUdGGXzzGnNARAleVAJ9dqLqfjSbfJRb1HXW3frTBRlVMtACfWWqA
nRPPJ3bKdiHWZbah3VS0vyY =UqKL
-----END PGP SIGNATURE-----

--=-wJDu+uEbO0LOJyZDT2JV--

--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact

Jonathan ILIAS

12/10/2004 à 14:40

Jean-Luc Coulon (f5ibh) wrote:

logrotate peut très bien faire le ménage dans les logs. Il suffit d e le
paramétrer correctement.

J'allais le dire... Ma machine tourne depuis 3 ans 24/24 avec 100 Mo
d'espace dans /var.

A titre informatif :
# du -h /var/log | tail -n 1
13M /var/log

PS : milles excuses à Jean-Luc Coulon pour l'envoi en doublon
--
Jonathan ILIAS

J.Pierre Pourrez

12/10/2004 à 14:50

Le 12/10/04 à 12:49, Corsinux écrivait:

Bonjour à toutes et à tous,

Comme je l'indique dans le sujet de mon message, je m'adresse à vous
pour avoir quelques conseils. Voilà la situation, j'ai récupéré une
"vieille" machine que je souhaite utiliser comme gateway/firewall entre
mon ordinateur et l'internet. Tout d'abord, la configuration matérielle :
- Pentium 133MHz,
- 48Mo EDO,
- Disque dur 4,3 Go,
- 2 cartes réseau : une avec un chipset realtek 8139 et une autre avec
un chipset natsemi.

Un disque dur de 500Mo suffit largement. La mode est à remplacée le
disque dur par une carte compact-flash branchée sur le port IDE mais le
connecteur est cher (+/- 25euros).

Mes questions :
1) tout d'abord, sachant que je compte faire tourner une Woody avec un
kernel 2.4.27, est-ce une machine suffisante ? (pas de X, pas de serveur
dhcp, juste ssh pour la controler depuis mon autre ordinateur)

J'aime bien Debian mais pour un problème il y a plus simple:
Ipcop 1.4
contient entre autres friandises:
kernel 2.4.27 + iptables
dnsmasq
Apache pour administration à distance
ssh
vpn

Tout cela s'installe presque tout seul.
C'est là:
http://www.ipcop.org
T'es même plus obligé de sortir ton dictionnaire d'anglais ;-)

Et pour l'aide supplémentaire c'est là:
http://forums.ixus.net/viewforum.php?f

Bon courage
Jean-Pierre

--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact

Jean-Luc Coulon (f5ibh)

12/10/2004 à 15:10

--=-1cYCMViUUubdJJ8SqeHo
Content-Type: text/plain; charset=ISO-8859-1; DelSp=Yes; Format=Flowed
Content-Disposition: inline
Content-Transfer-Encoding: quoted-printable

Le 12.10.2004 14:36:09, Jonathan ILIAS a écrit :

Jean-Luc Coulon (f5ibh) wrote:
logrotate peut très bien faire le ménage dans les logs. Il suffit de
le paramétrer correctement.

J'allais le dire... Ma machine tourne depuis 3 ans 24/24 avec 100 Mo
d'espace dans /var.

A titre informatif :
# du -h /var/log | tail -n 1
13M /var/log

J'ai un peu plus. /var héberge pas mal de choses sur une Debian. Et si
vous voulez, par exemple que la machine serve aussi de serveur de
courrier, il vaut mieux être à l'aise.

PS : milles excuses à Jean-Luc Coulon pour l'envoi en doublon

Alors, il ne fallait pas le faire .... >:->

--
Jonathan ILIAS

Jean-Luc

--=-1cYCMViUUubdJJ8SqeHo
Content-Type: application/pgp-signature

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.5 (GNU/Linux)

iD8DBQBBa9U4UdGGXzzGnNARAirLAKCoW1bh25fRzUxO8P7UX90IGtt5oACgm/O1
s5HEHFlMjKyFllAR6l4HRPA =cWHm
-----END PGP SIGNATURE-----

--=-1cYCMViUUubdJJ8SqeHo--

--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact

Frédéric Bothamy

13/10/2004 à 06:40

* Jonathan ILIAS [2004-10-12 14:06] :

[...]

J'en profite donc pour poser la question à la liste : je sais qu'il
était question qu'il devienne possible de mounter / en lecture seule
dans les prochaines version de Debian. Est-ce le cas pour la Sarge ?

À ma connaissance, non : le bogue 191036 est toujours ouvert et non
résolu et la page sur ce problème
http://panopticon.csustan.edu/thood/readonly-root.html ne signale pas de
résolution.

Fred

--
Comment poser les questions de manière intelligente ?
http://www.gnurou.org/documents/smart-questions-fr.html
Comment signaler efficacement un bug ?
http://www.chiark.greenend.org.uk/~sgtatham/bugs-fr.html

--
Pensez à lire la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench

Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact

Besoin de conseils pour firewall

7 réponses

Veuillez sélectionner un problème