j'ai une question : suite à la lecture de la doc lea sur iptables
(http://lea-linux.org/reseau/iptables.html), je me demandais si il était
possible de réaliser une DMZ sur la machine qui sert de firewall (avec
chroot ?) et de disposer d'une interface virtuelle (équiv au eth0 du
shéma qui suit) ? Réaliser une DMZ virtuelle en sorte.
Ensuite, enième débat : IP-cop, ca vaut le coup pour ce genre de choses
ou une gentoo bien configuée vous semble plus adapté (je suis
"gentoo-iste", et je ne connais pas bien IP-cop)
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
TiChou
Dans le message <news:cq9aqd$, *Jean-Philippe Caruana* tapota sur f.c.o.l.configuration :
bonjour,
Bonjour,
j'ai une question : suite à la lecture de la doc lea sur iptables (http://lea-linux.org/reseau/iptables.html), je me demandais si il était possible de réaliser une DMZ sur la machine qui sert de firewall (avec chroot ?) et de disposer d'une interface virtuelle (équiv au eth0 du shéma qui suit) ? Réaliser une DMZ virtuelle en sorte.
Quel intérêt ou qu'est ce que ça changerait ? J'avoue que j'ai du mal à comprendre votre conception de la chose. Si vous devez héberger vos services sur la même machine que le firewall, alors ce qui compte c'est qu'ils soient « chrootés » comme il faut, qu'ils tournent sous un utilisateur non privilégié et de configurer le firewall pour que ces services ne communiquent avec l'extérieur que sur les adresses et ports autorisés. Mais la notion d'interface virtuelle afin de simuler une DMZ, la je ne vois pas trop et ça me parait d'ailleurs impossible, même avec un noyau patché avec des patches sécurités comme grsec. De plus ça remet pas mal en question le principe d'une DMZ.
Ensuite, enième débat : IP-cop, ca vaut le coup pour ce genre de choses ou une gentoo bien configuée vous semble plus adapté (je suis "gentoo-iste", et je ne connais pas bien IP-cop)
Généralement, la distribution la plus adaptée est celle qu'on maîtrise le mieux. De plus, comme la Gentoo permet d'installer le minimum et strictement ce dont on a besoin, elle se présente alors comme un bon choix. Malgré tout, les outils de IPCop permet d'administrer facilement les fonctions de routeur et de firewall mais ses possibilités d'évolution et de s'adapter à une utilisation très particulière sont quand même limitées.
-- TiChou
Dans le message <news:cq9aqd$9i71@news.rd.francetelecom.fr>,
*Jean-Philippe Caruana* tapota sur f.c.o.l.configuration :
bonjour,
Bonjour,
j'ai une question : suite à la lecture de la doc lea sur iptables
(http://lea-linux.org/reseau/iptables.html), je me demandais si il était
possible de réaliser une DMZ sur la machine qui sert de firewall (avec
chroot ?) et de disposer d'une interface virtuelle (équiv au eth0 du shéma
qui suit) ? Réaliser une DMZ virtuelle en sorte.
Quel intérêt ou qu'est ce que ça changerait ? J'avoue que j'ai du mal à
comprendre votre conception de la chose.
Si vous devez héberger vos services sur la même machine que le firewall,
alors ce qui compte c'est qu'ils soient « chrootés » comme il faut, qu'ils
tournent sous un utilisateur non privilégié et de configurer le firewall
pour que ces services ne communiquent avec l'extérieur que sur les adresses
et ports autorisés.
Mais la notion d'interface virtuelle afin de simuler une DMZ, la je ne vois
pas trop et ça me parait d'ailleurs impossible, même avec un noyau patché
avec des patches sécurités comme grsec. De plus ça remet pas mal en question
le principe d'une DMZ.
Ensuite, enième débat : IP-cop, ca vaut le coup pour ce genre de choses ou
une gentoo bien configuée vous semble plus adapté (je suis "gentoo-iste",
et je ne connais pas bien IP-cop)
Généralement, la distribution la plus adaptée est celle qu'on maîtrise le
mieux. De plus, comme la Gentoo permet d'installer le minimum et strictement
ce dont on a besoin, elle se présente alors comme un bon choix. Malgré tout,
les outils de IPCop permet d'administrer facilement les fonctions de routeur
et de firewall mais ses possibilités d'évolution et de s'adapter à une
utilisation très particulière sont quand même limitées.
Dans le message <news:cq9aqd$, *Jean-Philippe Caruana* tapota sur f.c.o.l.configuration :
bonjour,
Bonjour,
j'ai une question : suite à la lecture de la doc lea sur iptables (http://lea-linux.org/reseau/iptables.html), je me demandais si il était possible de réaliser une DMZ sur la machine qui sert de firewall (avec chroot ?) et de disposer d'une interface virtuelle (équiv au eth0 du shéma qui suit) ? Réaliser une DMZ virtuelle en sorte.
Quel intérêt ou qu'est ce que ça changerait ? J'avoue que j'ai du mal à comprendre votre conception de la chose. Si vous devez héberger vos services sur la même machine que le firewall, alors ce qui compte c'est qu'ils soient « chrootés » comme il faut, qu'ils tournent sous un utilisateur non privilégié et de configurer le firewall pour que ces services ne communiquent avec l'extérieur que sur les adresses et ports autorisés. Mais la notion d'interface virtuelle afin de simuler une DMZ, la je ne vois pas trop et ça me parait d'ailleurs impossible, même avec un noyau patché avec des patches sécurités comme grsec. De plus ça remet pas mal en question le principe d'une DMZ.
Ensuite, enième débat : IP-cop, ca vaut le coup pour ce genre de choses ou une gentoo bien configuée vous semble plus adapté (je suis "gentoo-iste", et je ne connais pas bien IP-cop)
Généralement, la distribution la plus adaptée est celle qu'on maîtrise le mieux. De plus, comme la Gentoo permet d'installer le minimum et strictement ce dont on a besoin, elle se présente alors comme un bon choix. Malgré tout, les outils de IPCop permet d'administrer facilement les fonctions de routeur et de firewall mais ses possibilités d'évolution et de s'adapter à une utilisation très particulière sont quand même limitées.
-- TiChou
Jean-Philippe Caruana
/Réaliser une DMZ virtuelle en sorte/
Quel intérêt ou qu'est ce que ça changerait ? J'avoue que j'ai du mal à comprendre votre conception de la chose.
c'est une idée comme ca, à la visualisation du schéma lea. J'ai jamais dit "mon rève est de réaliser ne DMZ virtuelle. C'est tellement fort que je parviens à peine à m'endormir". Une idée en l'air, une pensée dérivante (qui a dit délirante ?)
Si vous devez héberger vos services sur la même machine que le firewall, alors ce qui compte c'est qu'ils soient « chrootés » comme il faut, qu'ils tournent sous un utilisateur non privilégié et de configurer le firewall pour que ces services ne communiquent avec l'extérieur que sur les adresses et ports autorisés.
ca me va alors ;-) existe-t-il un bon howto (ou autre) pour "chrooter" correctement une appli ?
Mais la notion d'interface virtuelle afin de simuler une DMZ, la je ne vois pas trop et ça me parait d'ailleurs impossible, même avec un noyau patché avec des patches sécurités comme grsec.
très bien
De plus ça remet pas mal en question le principe d'une DMZ.
absolument (mais il fallait bien trouver un 'nom') merci pour tes réflexions.
ps : s/vouvoiement/tutoiement/g, non ?
-- jpc http://www.enstimac.fr/~caruana/
/Réaliser une DMZ virtuelle en sorte/
Quel intérêt ou qu'est ce que ça changerait ? J'avoue que j'ai du mal à
comprendre votre conception de la chose.
c'est une idée comme ca, à la visualisation du schéma lea. J'ai jamais
dit "mon rève est de réaliser ne DMZ virtuelle. C'est tellement fort que
je parviens à peine à m'endormir". Une idée en l'air, une pensée
dérivante (qui a dit délirante ?)
Si vous devez héberger vos services sur la même machine que le firewall,
alors ce qui compte c'est qu'ils soient « chrootés » comme il faut,
qu'ils tournent sous un utilisateur non privilégié et de configurer le
firewall pour que ces services ne communiquent avec l'extérieur que sur
les adresses et ports autorisés.
ca me va alors ;-)
existe-t-il un bon howto (ou autre) pour "chrooter" correctement une appli ?
Mais la notion d'interface virtuelle afin de simuler une DMZ, la je ne
vois pas trop et ça me parait d'ailleurs impossible, même avec un noyau
patché avec des patches sécurités comme grsec.
très bien
De plus ça remet pas mal en question le principe d'une DMZ.
absolument (mais il fallait bien trouver un 'nom')
merci pour tes réflexions.
Quel intérêt ou qu'est ce que ça changerait ? J'avoue que j'ai du mal à comprendre votre conception de la chose.
c'est une idée comme ca, à la visualisation du schéma lea. J'ai jamais dit "mon rève est de réaliser ne DMZ virtuelle. C'est tellement fort que je parviens à peine à m'endormir". Une idée en l'air, une pensée dérivante (qui a dit délirante ?)
Si vous devez héberger vos services sur la même machine que le firewall, alors ce qui compte c'est qu'ils soient « chrootés » comme il faut, qu'ils tournent sous un utilisateur non privilégié et de configurer le firewall pour que ces services ne communiquent avec l'extérieur que sur les adresses et ports autorisés.
ca me va alors ;-) existe-t-il un bon howto (ou autre) pour "chrooter" correctement une appli ?
Mais la notion d'interface virtuelle afin de simuler une DMZ, la je ne vois pas trop et ça me parait d'ailleurs impossible, même avec un noyau patché avec des patches sécurités comme grsec.
très bien
De plus ça remet pas mal en question le principe d'une DMZ.
absolument (mais il fallait bien trouver un 'nom') merci pour tes réflexions.
ps : s/vouvoiement/tutoiement/g, non ?
-- jpc http://www.enstimac.fr/~caruana/
TiChou
Dans le message <news:cq9f9k$, *Jean-Philippe Caruana* tapota sur f.c.o.l.configuration :
Si vous devez héberger vos services sur la même machine que le firewall, alors ce qui compte c'est qu'ils soient « chrootés » comme il faut, qu'ils tournent sous un utilisateur non privilégié et de configurer le firewall pour que ces services ne communiquent avec l'extérieur que sur les adresses et ports autorisés.
ca me va alors ;-) existe-t-il un bon howto (ou autre) pour "chrooter" correctement une appli ?
Il en existe pleins. Un petit tour sur le site de Léa ou une recherche sur Google pour avoir une idée de ce qui existe. En fait, selon le daemon, il peut y avoir plusieurs façon de procéder. Par exemple les deux produits de ISC, BIND et DHCP ou bien rsyncd, sont conçus en natif pour pouvoir fonctionner dans une cage chroot et la construction de la cage est ainsi facilitée. Pour Apache ou le serveur ssh, la tâche sera plus complexe car la construction de la cage chroot est laborieuse. Il faut déterminer quels sont les librairies nécessaires (ldd), les périphériques qui seront utilisés, il faut aussi reconstruire l'architecture du système dans la cage chroot, etc. Il existe des scripts qui permettent de faciliter la construction de la cage chroot en déterminant plus ou moins automatiquement tous les fichiers nécessaires à placer dans la cage chroot.
Enfin, si tu t'orientes vers une Gentoo, sache que par exemple elle inclut des scripts pour construire les cages chroot de certains services (c'est indiqué généralement à la fin de l'installation). C'est le cas de BIND, DHCP. Il existe aussi pour certains paquets le flag USE=chroot afin de compiler le paquet avec le support chroot. C'est le cas de OpenSSH. Certains paquets sont patchés pour ajouter un support chroot en natif, comme par exemple le paquet ntp. Enfin, la Gentoo fournit deux outils, les paquets app-admin/chroot_safe et app-misc/jail, pour automatiser la construction des cages chroot.
-- TiChou
Dans le message <news:cq9f9k$9i72@news.rd.francetelecom.fr>,
*Jean-Philippe Caruana* tapota sur f.c.o.l.configuration :
Si vous devez héberger vos services sur la même machine que le firewall,
alors ce qui compte c'est qu'ils soient « chrootés » comme il faut,
qu'ils tournent sous un utilisateur non privilégié et de configurer le
firewall pour que ces services ne communiquent avec l'extérieur que sur
les adresses et ports autorisés.
ca me va alors ;-)
existe-t-il un bon howto (ou autre) pour "chrooter" correctement une
appli ?
Il en existe pleins. Un petit tour sur le site de Léa ou une recherche sur
Google pour avoir une idée de ce qui existe.
En fait, selon le daemon, il peut y avoir plusieurs façon de procéder.
Par exemple les deux produits de ISC, BIND et DHCP ou bien rsyncd, sont
conçus en natif pour pouvoir fonctionner dans une cage chroot et la
construction de la cage est ainsi facilitée. Pour Apache ou le serveur ssh,
la tâche sera plus complexe car la construction de la cage chroot est
laborieuse. Il faut déterminer quels sont les librairies nécessaires (ldd),
les périphériques qui seront utilisés, il faut aussi reconstruire
l'architecture du système dans la cage chroot, etc. Il existe des scripts
qui permettent de faciliter la construction de la cage chroot en déterminant
plus ou moins automatiquement tous les fichiers nécessaires à placer dans la
cage chroot.
Enfin, si tu t'orientes vers une Gentoo, sache que par exemple elle inclut
des scripts pour construire les cages chroot de certains services (c'est
indiqué généralement à la fin de l'installation). C'est le cas de BIND,
DHCP.
Il existe aussi pour certains paquets le flag USE=chroot afin de compiler le
paquet avec le support chroot. C'est le cas de OpenSSH.
Certains paquets sont patchés pour ajouter un support chroot en natif, comme
par exemple le paquet ntp.
Enfin, la Gentoo fournit deux outils, les paquets app-admin/chroot_safe et
app-misc/jail, pour automatiser la construction des cages chroot.
Dans le message <news:cq9f9k$, *Jean-Philippe Caruana* tapota sur f.c.o.l.configuration :
Si vous devez héberger vos services sur la même machine que le firewall, alors ce qui compte c'est qu'ils soient « chrootés » comme il faut, qu'ils tournent sous un utilisateur non privilégié et de configurer le firewall pour que ces services ne communiquent avec l'extérieur que sur les adresses et ports autorisés.
ca me va alors ;-) existe-t-il un bon howto (ou autre) pour "chrooter" correctement une appli ?
Il en existe pleins. Un petit tour sur le site de Léa ou une recherche sur Google pour avoir une idée de ce qui existe. En fait, selon le daemon, il peut y avoir plusieurs façon de procéder. Par exemple les deux produits de ISC, BIND et DHCP ou bien rsyncd, sont conçus en natif pour pouvoir fonctionner dans une cage chroot et la construction de la cage est ainsi facilitée. Pour Apache ou le serveur ssh, la tâche sera plus complexe car la construction de la cage chroot est laborieuse. Il faut déterminer quels sont les librairies nécessaires (ldd), les périphériques qui seront utilisés, il faut aussi reconstruire l'architecture du système dans la cage chroot, etc. Il existe des scripts qui permettent de faciliter la construction de la cage chroot en déterminant plus ou moins automatiquement tous les fichiers nécessaires à placer dans la cage chroot.
Enfin, si tu t'orientes vers une Gentoo, sache que par exemple elle inclut des scripts pour construire les cages chroot de certains services (c'est indiqué généralement à la fin de l'installation). C'est le cas de BIND, DHCP. Il existe aussi pour certains paquets le flag USE=chroot afin de compiler le paquet avec le support chroot. C'est le cas de OpenSSH. Certains paquets sont patchés pour ajouter un support chroot en natif, comme par exemple le paquet ntp. Enfin, la Gentoo fournit deux outils, les paquets app-admin/chroot_safe et app-misc/jail, pour automatiser la construction des cages chroot.
