Pour un serveur dédié chez un hébergeur, sous Linux (Gentoo), je
voudrais configurer shorewall pour établir le parefeu.
Pourquoi shorewall et pas iptables directement ? parce que shorewall je
comprends un minimum, iptables, beaucoup moins, et qu'à l'heure actuelle,
le serveur est ouvert à tous vents, d'où mon urgence.
Or, il est évident que toute erreur dans la config me fera perdre la main
dessus, et à 7000Km ça risque être coton à rétablir.
J'aurais donc aimé valider ma configuration.
Déjà, puis-je être sûr qu'un shorewall check n'activera rien du tout,
quelque soit l'erreur trouvée, et ne me mettra pas dans un état stop
fatal ?
Ensuite, ce serveur n'ayant donc qu'une interface, eth0 dirigée vers une
passerelle (l'expression doit être impropre mais j'espère que vous
m'aurez compris).
Un ifconfig donne quelque chose du genre :
eth0 Lien encap:Ethernet HWaddr 00:30:48:82:D1:06
inet adr:A.B.C.129 Bcast:A.B.C.191
Masque:255.255.255.192 UP BROADCAST RUNNING MULTICAST MTU:1500
Metric:1
route :
A.B.C.128 * 255.255.255.192 U 0 0 0 eth0
loopback localhost 255.0.0.0 UG 0 0 0 lo
default A.B.C.190 0.0.0.0 UG 0 0 0 eth0
Dans zones, j'ai juste mis :
net Net Internet
dans interfaces :
net eth0 -
policy :
net all DROP info
all all REJECT info
je pense régler chaque accès par le fichiers rules
Pour un serveur dédié chez un hébergeur, sous Linux (Gentoo), je voudrais configurer shorewall pour établir le parefeu. Pourquoi shorewall et pas iptables directement ? parce que shorewall je comprends un minimum, iptables, beaucoup moins, et qu'à l'heure actuelle, le serveur est ouvert à tous vents, d'où mon urgence.
Tu dis qu'il est ouvert à tout vent parcequ'il n'a pas de firewall actif? ce n'est pas tout à fait vrai.
Merci aux habitués shorewall qui voudront bien se pencher sur ma question.
Je vais surement encore te décevoir, parceque je n'ai pas la réponse directe (ni même indirecte) à ta question, mais mon message a pour but une suggestion, pour éventuellement, quand tu réorganisera ton serveur:
http://www.hlfl.org/
C'est ultra simple (la section Example) te donne un... exemple. Dans la doc, tu trouvera d'autres subtilités de ce truc. Et en plus, ce n'est certes pas un gage de qualité, mais maintenant le projet est maintenu par Arnaud Launay (Fr)...
Excuses-moi encore hein... Ciao.
-- Les serveurs avec 10Mb/s se louent maintenant pour 50 ou 60 Euros par mois! La preuve http://www.google.fr/search?q=serveur+dedie Infogerance de serveur dedie http://aspo.rktmb.org/activites/infogerance (En louant les services de l'ASPO vous luttez contre la fracture numerique)
Pour un serveur dédié chez un hébergeur, sous Linux (Gentoo), je
voudrais configurer shorewall pour établir le parefeu.
Pourquoi shorewall et pas iptables directement ? parce que shorewall je
comprends un minimum, iptables, beaucoup moins, et qu'à l'heure actuelle,
le serveur est ouvert à tous vents, d'où mon urgence.
Tu dis qu'il est ouvert à tout vent parcequ'il n'a pas de firewall actif?
ce n'est pas tout à fait vrai.
Merci aux habitués shorewall qui voudront bien se pencher sur ma
question.
Je vais surement encore te décevoir, parceque je n'ai pas la réponse
directe (ni même indirecte) à ta question, mais mon message a pour but
une suggestion, pour éventuellement, quand tu réorganisera ton serveur:
http://www.hlfl.org/
C'est ultra simple (la section Example) te donne un... exemple. Dans la
doc, tu trouvera d'autres subtilités de ce truc. Et en plus, ce n'est
certes pas un gage de qualité, mais maintenant le projet est maintenu par
Arnaud Launay (Fr)...
Excuses-moi encore hein...
Ciao.
--
Les serveurs avec 10Mb/s se louent maintenant pour 50 ou 60 Euros par mois!
La preuve http://www.google.fr/search?q=serveur+dedie
Infogerance de serveur dedie http://aspo.rktmb.org/activites/infogerance
(En louant les services de l'ASPO vous luttez contre la fracture numerique)
Pour un serveur dédié chez un hébergeur, sous Linux (Gentoo), je voudrais configurer shorewall pour établir le parefeu. Pourquoi shorewall et pas iptables directement ? parce que shorewall je comprends un minimum, iptables, beaucoup moins, et qu'à l'heure actuelle, le serveur est ouvert à tous vents, d'où mon urgence.
Tu dis qu'il est ouvert à tout vent parcequ'il n'a pas de firewall actif? ce n'est pas tout à fait vrai.
Merci aux habitués shorewall qui voudront bien se pencher sur ma question.
Je vais surement encore te décevoir, parceque je n'ai pas la réponse directe (ni même indirecte) à ta question, mais mon message a pour but une suggestion, pour éventuellement, quand tu réorganisera ton serveur:
http://www.hlfl.org/
C'est ultra simple (la section Example) te donne un... exemple. Dans la doc, tu trouvera d'autres subtilités de ce truc. Et en plus, ce n'est certes pas un gage de qualité, mais maintenant le projet est maintenu par Arnaud Launay (Fr)...
Excuses-moi encore hein... Ciao.
-- Les serveurs avec 10Mb/s se louent maintenant pour 50 ou 60 Euros par mois! La preuve http://www.google.fr/search?q=serveur+dedie Infogerance de serveur dedie http://aspo.rktmb.org/activites/infogerance (En louant les services de l'ASPO vous luttez contre la fracture numerique)
Sébastien Bourgasser
Bonjour,
Pour un serveur dédié chez un hébergeur, sous Linux (Gentoo), je voudrais configurer shorewall pour établir le parefeu. Pourquoi shorewall et pas iptables directement ? parce que shorewall je comprends un minimum, iptables, beaucoup moins, et qu'à l'heure actuelle, le serveur est ouvert à tous vents, d'où mon urgence.
Or, il est évident que toute erreur dans la config me fera perdre la main dessus, et à 7000Km ça risque être coton à rétablir. J'aurais donc aimé valider ma configuration.
Déjà, puis-je être sûr qu'un shorewall check n'activera rien du tout, quelque soit l'erreur trouvée, et ne me mettra pas dans un état stop fatal ?
Bonsoir,
Vous pouvez aussi utiliser FWbuilder (fwbuilder.org) C'est une interface graphique permettant de créer un script de règles iptables. C'est très efficace et convivial, un peu pompé sur les FW checkpoint niveau interface.
Dans la config de FWbuilder, vous pouvez indiquer une IP de management, c'est à dire une IP qui aura toujours un accès SSH. Pratique si de mauvaises règles sont définies, la main n'est pas perdue.
De plus, il y a un mode de test, qui permet un reboot automatique après X minutes si toutefois il y avait une erreur. Pour utiliser le mode de test, ne pas oublier d'installer 'at' et 'iproute2'.
A+
-- Sébastien Bourgasser
Bonjour,
Pour un serveur dédié chez un hébergeur, sous Linux (Gentoo), je
voudrais configurer shorewall pour établir le parefeu.
Pourquoi shorewall et pas iptables directement ? parce que shorewall je
comprends un minimum, iptables, beaucoup moins, et qu'à l'heure actuelle,
le serveur est ouvert à tous vents, d'où mon urgence.
Or, il est évident que toute erreur dans la config me fera perdre la main
dessus, et à 7000Km ça risque être coton à rétablir.
J'aurais donc aimé valider ma configuration.
Déjà, puis-je être sûr qu'un shorewall check n'activera rien du tout,
quelque soit l'erreur trouvée, et ne me mettra pas dans un état stop
fatal ?
Bonsoir,
Vous pouvez aussi utiliser FWbuilder (fwbuilder.org)
C'est une interface graphique permettant de créer un script de règles
iptables. C'est très efficace et convivial, un peu pompé sur les FW
checkpoint niveau interface.
Dans la config de FWbuilder, vous pouvez indiquer une IP de management,
c'est à dire une IP qui aura toujours un accès SSH. Pratique si de
mauvaises règles sont définies, la main n'est pas perdue.
De plus, il y a un mode de test, qui permet un reboot automatique après
X minutes si toutefois il y avait une erreur. Pour utiliser le mode de
test, ne pas oublier d'installer 'at' et 'iproute2'.
Pour un serveur dédié chez un hébergeur, sous Linux (Gentoo), je voudrais configurer shorewall pour établir le parefeu. Pourquoi shorewall et pas iptables directement ? parce que shorewall je comprends un minimum, iptables, beaucoup moins, et qu'à l'heure actuelle, le serveur est ouvert à tous vents, d'où mon urgence.
Or, il est évident que toute erreur dans la config me fera perdre la main dessus, et à 7000Km ça risque être coton à rétablir. J'aurais donc aimé valider ma configuration.
Déjà, puis-je être sûr qu'un shorewall check n'activera rien du tout, quelque soit l'erreur trouvée, et ne me mettra pas dans un état stop fatal ?
Bonsoir,
Vous pouvez aussi utiliser FWbuilder (fwbuilder.org) C'est une interface graphique permettant de créer un script de règles iptables. C'est très efficace et convivial, un peu pompé sur les FW checkpoint niveau interface.
Dans la config de FWbuilder, vous pouvez indiquer une IP de management, c'est à dire une IP qui aura toujours un accès SSH. Pratique si de mauvaises règles sont définies, la main n'est pas perdue.
De plus, il y a un mode de test, qui permet un reboot automatique après X minutes si toutefois il y avait une erreur. Pour utiliser le mode de test, ne pas oublier d'installer 'at' et 'iproute2'.
A+
-- Sébastien Bourgasser
Christophe PEREZ
Le Thu, 14 Apr 2005 00:18:49 +0200, Sébastien Bourgasser a écrit:
Vous pouvez aussi utiliser FWbuilder (fwbuilder.org) C'est une interface graphique permettant de créer un script de règles iptables. C'est très efficace et convivial, un peu pompé sur les FW checkpoint niveau interface.
Bon à savoir, mais dans ce cas, une interface graphique ne m'aurait pas beaucoup servi.
Dans la config de FWbuilder, vous pouvez indiquer une IP de management, c'est à dire une IP qui aura toujours un accès SSH. Pratique si de mauvaises règles sont définies, la main n'est pas perdue.
En fait, il y a aussi ça dans shorewall, et c'est à force de piocher dans les docs que je l'ai trouvé/compris. C'est le fichier routestopped.
De plus, il y a un mode de test, qui permet un reboot automatique après X minutes si toutefois il y avait une erreur. Pour utiliser le mode de test, ne pas oublier d'installer 'at' et 'iproute2'.
Ben les modes test, comme le try de shorewall, je commence à m'en méfier après avoir planté l'accès au serveur de la sorte ;-)
Mais maintenant, après avoir fait très attention à ma config, mis mon ip dans le bon fichier, mis un cron qui me fasse un shorewall stop toutes les 10 minutes, j'ai pu faire mon shorewall check qui n'a pas révélé d'erreur, et enfin faire un shorewall start qui semble correct. Mais je vous avoue que ça fait peur ;-)
-- Christophe PEREZ Écrivez moi sans _faute !
Le Thu, 14 Apr 2005 00:18:49 +0200, Sébastien Bourgasser a écrit:
Vous pouvez aussi utiliser FWbuilder (fwbuilder.org)
C'est une interface graphique permettant de créer un script de règles
iptables. C'est très efficace et convivial, un peu pompé sur les FW
checkpoint niveau interface.
Bon à savoir, mais dans ce cas, une interface graphique ne m'aurait pas
beaucoup servi.
Dans la config de FWbuilder, vous pouvez indiquer une IP de management,
c'est à dire une IP qui aura toujours un accès SSH. Pratique si de
mauvaises règles sont définies, la main n'est pas perdue.
En fait, il y a aussi ça dans shorewall, et c'est à force de piocher
dans les docs que je l'ai trouvé/compris. C'est le fichier routestopped.
De plus, il y a un mode de test, qui permet un reboot automatique après
X minutes si toutefois il y avait une erreur. Pour utiliser le mode de
test, ne pas oublier d'installer 'at' et 'iproute2'.
Ben les modes test, comme le try de shorewall, je commence à m'en méfier
après avoir planté l'accès au serveur de la sorte ;-)
Mais maintenant, après avoir fait très attention à ma config, mis mon
ip dans le bon fichier, mis un cron qui me fasse un shorewall stop toutes
les 10 minutes, j'ai pu faire mon shorewall check qui n'a pas révélé
d'erreur, et enfin faire un shorewall start qui semble correct.
Mais je vous avoue que ça fait peur ;-)
Le Thu, 14 Apr 2005 00:18:49 +0200, Sébastien Bourgasser a écrit:
Vous pouvez aussi utiliser FWbuilder (fwbuilder.org) C'est une interface graphique permettant de créer un script de règles iptables. C'est très efficace et convivial, un peu pompé sur les FW checkpoint niveau interface.
Bon à savoir, mais dans ce cas, une interface graphique ne m'aurait pas beaucoup servi.
Dans la config de FWbuilder, vous pouvez indiquer une IP de management, c'est à dire une IP qui aura toujours un accès SSH. Pratique si de mauvaises règles sont définies, la main n'est pas perdue.
En fait, il y a aussi ça dans shorewall, et c'est à force de piocher dans les docs que je l'ai trouvé/compris. C'est le fichier routestopped.
De plus, il y a un mode de test, qui permet un reboot automatique après X minutes si toutefois il y avait une erreur. Pour utiliser le mode de test, ne pas oublier d'installer 'at' et 'iproute2'.
Ben les modes test, comme le try de shorewall, je commence à m'en méfier après avoir planté l'accès au serveur de la sorte ;-)
Mais maintenant, après avoir fait très attention à ma config, mis mon ip dans le bon fichier, mis un cron qui me fasse un shorewall stop toutes les 10 minutes, j'ai pu faire mon shorewall check qui n'a pas révélé d'erreur, et enfin faire un shorewall start qui semble correct. Mais je vous avoue que ça fait peur ;-)
-- Christophe PEREZ Écrivez moi sans _faute !
Christophe PEREZ
Le Wed, 13 Apr 2005 20:30:47 +0200, Rakotomandimby (R12y) Mihamina a écrit:
Tu dis qu'il est ouvert à tout vent parcequ'il n'a pas de firewall actif? ce n'est pas tout à fait vrai.
Non, certes, je noircissais le tableau, mais bon, ça fait toujours un peu peur.
Je vais surement encore te décevoir, parceque je n'ai pas la réponse directe (ni même indirecte) à ta question,
pas de mal.
mais mon message a pour but une suggestion, pour éventuellement, quand tu réorganisera ton serveur:
http://www.hlfl.org/
J'irai voir ça, mais j'espère ne pas être près de le réorganiser ;-)
C'est ultra simple (la section Example) te donne un... exemple. Dans la doc, tu trouvera d'autres subtilités de ce truc. Et en plus, ce n'est certes pas un gage de qualité, mais maintenant le projet est maintenu par Arnaud Launay (Fr)...
Excuses-moi encore hein...
Pas de mal, surtout que, comme répondu à Sébastien, j'ai eu plus de peur que de mal, et ça c'est finalement (la deuxième fois) bien passé.
Merci quand même.
-- Christophe PEREZ Écrivez moi sans _faute !
Le Wed, 13 Apr 2005 20:30:47 +0200, Rakotomandimby (R12y) Mihamina a
écrit:
Tu dis qu'il est ouvert à tout vent parcequ'il n'a pas de firewall actif?
ce n'est pas tout à fait vrai.
Non, certes, je noircissais le tableau, mais bon, ça fait toujours un peu
peur.
Je vais surement encore te décevoir, parceque je n'ai pas la réponse
directe (ni même indirecte) à ta question,
pas de mal.
mais mon message a pour but
une suggestion, pour éventuellement, quand tu réorganisera ton serveur:
http://www.hlfl.org/
J'irai voir ça, mais j'espère ne pas être près de le réorganiser ;-)
C'est ultra simple (la section Example) te donne un... exemple. Dans la
doc, tu trouvera d'autres subtilités de ce truc. Et en plus, ce n'est
certes pas un gage de qualité, mais maintenant le projet est maintenu par
Arnaud Launay (Fr)...
Excuses-moi encore hein...
Pas de mal, surtout que, comme répondu à Sébastien, j'ai eu plus de
peur que de mal, et ça c'est finalement (la deuxième fois) bien passé.
Le Wed, 13 Apr 2005 20:30:47 +0200, Rakotomandimby (R12y) Mihamina a écrit:
Tu dis qu'il est ouvert à tout vent parcequ'il n'a pas de firewall actif? ce n'est pas tout à fait vrai.
Non, certes, je noircissais le tableau, mais bon, ça fait toujours un peu peur.
Je vais surement encore te décevoir, parceque je n'ai pas la réponse directe (ni même indirecte) à ta question,
pas de mal.
mais mon message a pour but une suggestion, pour éventuellement, quand tu réorganisera ton serveur:
http://www.hlfl.org/
J'irai voir ça, mais j'espère ne pas être près de le réorganiser ;-)
C'est ultra simple (la section Example) te donne un... exemple. Dans la doc, tu trouvera d'autres subtilités de ce truc. Et en plus, ce n'est certes pas un gage de qualité, mais maintenant le projet est maintenu par Arnaud Launay (Fr)...
Excuses-moi encore hein...
Pas de mal, surtout que, comme répondu à Sébastien, j'ai eu plus de peur que de mal, et ça c'est finalement (la deuxième fois) bien passé.
