Re: configuration firehol

[JusTiCe8 <justice8@wanadoo.fr>]

Bonjour,

flavan michel wrote:

> Bonjour, 
>
> voila, je suis newbie en firewall et en regle
> iptables, j'ai installé suite à un conseil donné par
> quelqu'un sur cette liste firehol. j'ai mis la
> configuration suivante dans mon
> /etc/firehol/firehol.conf (je précise, j'ai une
> connexion adsl):
>
> interface ppp0 internet
>          server http accept
>          server cvspserver accept
>          server ssh accept
>          server mysql accept
>          client all accept
>
>  
va voir le tutorial sur le site, il y a des protections supp.

> j'aimerais laisser les ports indiqués ouvert mais
> j'obtiens un truc bizzare quand je fais un nmap sur
> mon serveur:
>
> PORT     STATE    SERVICE
> 135/tcp  filtered msrpc
> 139/tcp  open     netbios-ssn
> 445/tcp  filtered microsoft-ds
> 1214/tcp open     fasttrack
>
>  
tu le fait en local ou à distance. En local, c'est lo qui est utilisée 
et non ppp0.

> et mon site est accessible, du moins en local, mais
> nmap n'indique pas que le port 80 est ouvert, je ne
> comprends pas.
>
>
> et iptables -L me donne en partie (j'ai pas tout mis,
> trop long): 
>
> Chain INPUT (policy DROP)
> target     prot opt source               destination  
>      
> ACCEPT     all  --  anywhere             anywhere     
>      
> in_internet  all  --  anywhere             anywhere   
>        
> ACCEPT     all  --  anywhere             anywhere     
>      state RELATED 
> LOG        all  --  anywhere             anywhere     
>      limit: avg 1/sec burst 5 LOG level warning
> prefix `IN-unknown:' 
> DROP       all  --  anywhere             anywhere     
>      
>
> Chain FORWARD (policy DROP)
> target     prot opt source               destination  
>      
> ACCEPT     all  --  anywhere             anywhere     
>      state RELATED 
> LOG        all  --  anywhere             anywhere     
>      limit: avg 1/sec burst 5 LOG level warning
> prefix `PASS-unknown:' 
> DROP       all  --  anywhere             anywhere     
>      
>
> Chain OUTPUT (policy DROP)
> target     prot opt source               destination  
>      
> ACCEPT     all  --  anywhere             anywhere     
>      
> out_internet  all  --  anywhere             anywhere  
>         
> ACCEPT     all  --  anywhere             anywhere     
>      state RELATE
>
>
> Voila, je voulais juste savoir si quelqu'un pouvait me
> donner une config de firehol.conf pour proteger un
> serveur perso en voulant laisser ouvert les ports ssh,
> cvs,http, mysql. 
>
>  
ta config va bien, et tu peux encore l'améliorer :).
Poste sur firehol-support@lists.sourceforge.net (en anglais), tu aura 
des réponses plus précises.

> au fait, autre question de newbie, y-a t'il un interet
> à filtrer le port 80 si je veux que tout le monde
> puisse accéder à mon site et en meme temps avoir une
> sécurité, ou suis je obligé de le laisser ouvert,
>
>  
pour accéder à ton site via ton serveur, les clients ont besoin de 
passer par le port 80, à moisn d'ne spécifier un autre dans la config de 
ton serveur HTTP.
La sécurité se fait sur les autres ports inutilisés, les services 
inutiles, les démons (update de sécurité), les correctifs divers etc

> merci d'avance pour toute réponse,
>  
de rien.

> excusez moi de ne pas vouloir me plonger dans les
> regles iptables,
>
>  
c'est pas un mal ;).

> bonne journée.
>
>  
A toi aussi, merci.

  J8.