Re: Firewall ipchains + Masq

To: debian-user-french@lists.debian.org
Subject: Re: Firewall ipchains + Masq
From: Vazco <vazco@altern.org>
Date: Wed, 10 Apr 2002 12:52:24 +0200
Message-id: <[🔎] 20020410105223.GA707@littlebigmac>
Mail-followup-to: debian-user-french@lists.debian.org
In-reply-to: <[🔎] 20020410103120.A4578@schonfeld.eu.org>
References: <[🔎] 001a01c1e06a$5a53c880$a302a8c0@pratx.alx.fr> <[🔎] 20020410103120.A4578@schonfeld.eu.org>

Le mercredi 10 avril 2002, à 10:31, Tony Schonfeld écrivait :
> On Wed, Apr 10, 2002 at 10:32:51AM +0200, Dodger Web wrote:
> > Ma config est la suivante:
> > 
> > LAN: 192.168.0.0/24
> > GW: 192.168.0.3/24
> > 
> > 
> > LAN ------ eth1 ----- GW ----eth0----- modem ADSL -------- INET
> >				    ^ 
> > Il y a une chose que je ne m'explique pas, ma machine GW reste
> > exposée a 100% avec mes regles ipchains (voir ci dessous)
> > et ce comme me le montre un scan de port ou des tentatives de ssh
> > depuis l'exterieur....
> > 
> > Pouvez vous m'indiquer ce que je fais mal (pas ?)

Beaucoup de choses...

> > # Deny all input on ifnet
> > $ipchains -A input -s 0.0.0.0/0  -d 192.168.0.2  -p all -j DENY -i
> > eth0
Ça ne correspond à aucun paquet, donc ça n'arrêtera rien.
1) Aucun datagramme provenant d'Internet ne peut avoir comme destination
un réseau privé : il ne sera pas routé. C'est le principe même des
réseaux privés.
2) Ton interface ADSL, c'est ppp0 et l'adresse qui va avec, pas eth0.

Toutes les règles qui suivent sont inutiles puisque tu as une politique
ACCEPT par défaut, ce qui est <font size="80">_MAL_</font>. Et elles ne 
servent à rien de toute façon pour les raisons évoquées ci-dessus.

> Selon Chacun la politique de securite sera tres differente,
> en principe un bon debut est de dire j'interdit tout:

Je serai plus intransigeant que Tony sur ce point. Si on ne le fait,
politique d'insécurité est un terme plus adéquat.

> Ensuite tu vas definir les packets entrants, sortants, forwardes, masques
> selon les adresses, protocoles et les ports.
> 
> exemple:
Ce n'est qu'un exemple. Par pitié ne le reprends pas tel quel sans
savoir ce que tu fais. À titre indicatif, les ports 6000 à 6010 sont
utilisés par X, un proxy traîne souvent en 8080, etc.

> Comme je le disais hier j'ai debute avec des scripts a la main, tres long
> et fastidieux, mais avec Mason tu peux creer un firewall en 5 minutes
> qui marche bien.
Je ne connais pas Mason, mais quelque soit l'outil utilisé, ça ne te
dispense pas de lire le Ipchains-Howto. Quand tu l'auras lu 3 ou 4 fois
et que tu es sûr d'avoir tout compris, relis-le.

> Bonne chance
Bonne lecture :-)


-- 
To UNSUBSCRIBE, email to debian-user-french-request@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org

Reply to:

References:
- Firewall ipchains + Masq
  - From: "Dodger Web" <dodger_web@yahoo.fr>
- Re: Firewall ipchains + Masq
  - From: Tony Schonfeld <tony@schonfeld.eu.org>

Prev by Date: Re: Probleme dpkg
Next by Date: Re: montage des partition fat32 au démarrage
Previous by thread: Re: Firewall ipchains + Masq
Next by thread: Probleme dpkg
Index(es):
- Date
- Thread