Re: Securite sur un firewall

[Samuel Colin <Samuel.Colin@inrets.fr>]

Le Fri, 23 Aug 2002 21:23:33 +0200
Thierry Leurent <thierry.leurent@wanadoo.be> a écrit:
> 
> Bonsoir,
> 
Bonsoir

> > > - Gnutella est le seul seveur present sur mon reseau et pas en permanence.
> > > 
> > Ben, si le port qu'il utilise est ouvert, ça devrait rouler.
> 
> Tres bonne idees, il me faudait donc tout fermer sauf pour les mails, news, ftp, http, gnutella et apt-get. 

C'est l'idée. Cela étant, apt-get utilise ftp, http et autres. Ne pas confondre les services réseaux et les applis qui les exploitent.

Au passage, tu utilises gnutella, jette également un coup d'oeil du côté de freenet, un projet GNU-Friendly en plein développement.

> Quel port utilise-t-on pour le streaming audio ?

Prudence, certaines applications ne sont pas NAT-friendly. C'est le cas par exemple du streaming audio, et pour les noyaux 2.2.x, on utilisait des modules noyaux particuliers. Ces modules ne sont pas encore portés pour les noyaux 2.4.x, mais si c'est crucial tu pourras utiliser l'ipport-forwarding. tout est dans le IP-Masquerade-HOWTO. Donc:
apt-get install doc-linux-html

> Si je ne me trompe pas, il est impossible de se connecter avec un pour x si il n'existe pas un serveur qui ecoute se port. Donc theoriquement, je ne risque rien de ce cote la !
> 
Oui. Mais iptables empêche aussi certaines attaques comme l'ip-spoofing (le vilain nackeur usurpe une de tes machines) ou le denial of service (le vilain nackeur submerge ta machine de requêtes).

> Je pourrais aussi eliminer les users telque mail, .....
>  
Inutile d'éliminer les users, la protection par pare-feu est juste un problème de ports ouverts ou fermés et de serveurs activés ou non.

> 
> Pour l'instant, j'utilise un fichier firewall que j'ai trouve sur www.256bit.org. Je ne m'y connais pas assez bien pour dire ce qu'il vaut exactement. Tu definis tes 2 ou 3 interfaces, les ports a utiliser, quelques autres parametres et il fait tout le reste seul.
>
Moui... Mais si tu tiens à comprendre tout ce qui se passe sur ton firewall mieux vaut que tu écrives toi-même tes règles iptables, tu sauras en plus facilement ajouter/autoriser facilement des services.
Autre remarque si tu n'aimes pas le mode texte:
apt-cache search iptables
Il y a des interfaces graphiques pour configurer iptables.
 
> Pour l'instant il doit logger beaucoups de choses. J'ai enormement ce couple de lignes :
> pppd[1245]: rcvd [LCP .......]
> pppd[1245]: sent [LCP .......]
> les ..... remplacent diverses donnees comme des nombres hex ou des mots comme sync. Le plus etonnant est que l'option de log etait desactivee. 
> 
A part "man pppd", j'ai pas d'idée

> Je veux juste eviter que ma pertition /var/log soit full donc eliminer les vieux logs de plus d'un mois par exemple
>
man logrotate
Il y a normalement un logrotate dans ton /etc/cron.daily
S'il est configuré par défaut (/etc/logrotate.conf), les logs de plus d'une semaine sont effacés.
 
> Merci pour cette reponse.
> 
De rien. 
Voilà, je pense que tu en as pour au moins un mois de lecture et de configuration avec tout ça :-).


-- 
  Quelqu'un connait il la vitesse en mètres par seconde du
  chameau d'Egypte ?
  -+- JM in: Guide du Cabaliste Usenet - Bien configurer son chameau -+-