Envoyé par novices
pas compris le détail sur dansguardian...
sinon je l'ai installé sur une debian sarge, PII-333MHz, 64Mo Ram, HD 4Go, et ça marche très bien avec un peu moins d'une dizaine de machines clientes
Envoyé par novices
pas compris le détail sur dansguardian...
sinon je l'ai installé sur une debian sarge, PII-333MHz, 64Mo Ram, HD 4Go, et ça marche très bien avec un peu moins d'une dizaine de machines clientes
Salut,
Je veux ajouter la possibilité de se connecter directement en ssh vers des machines extérieures... c'est un exemple qu'ils pourront ensuite adapter à d'autres services
J'ai pensé à ces règles iptables
Code : Sélectionner tout - Visualiser dans une fenêtre à part
1
2
3
4
5
6 # on forwarde les paquets destinés au port tcp 22 de machines extérieures iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE -p tcp -m tcp --dport 22 # # n'accepter les connexions extérieurs qu'en réponse à une demande interne iptables -D FORWARD -d zone_ip_interne/255.255.255.0 -j ACCEPT iptables -A FORWARD -d zone_ip_interne/255.255.255.0 -m state --state ESTABLISHED,RELATED -j ACCEPT
Qu'en pensez-vous ?
surtout d'un point de vue sécurité et rapidité, bien sûr
ça me fait pensé (puisque vous parlez de squid et de redirecteurs) que j'avais ecrit pour un stage un "chaineur" de redirecteurs squid (en C); c'est un redirecteur qui appelle une liste de redirecteurs ... ça permet entre autre d'utiliser squidguard et squidclam.
je ne sais pas si ça peux etre utile a quelqu'un. (j'avais fait ça sur commande de mon maitre de stage)
repris//corrigé//amelioré ...
breffe, j'en parle ici ... je met un lien vers le source ... je demenage demain et n'aurais pas le net pendant un petit moment ... donc debrouillez vous
ton chaineur a l'air pas mal... mais es-tu sûr que ce soit nécessaire ?
je me demandes si l'on ne peut pas gérer cela avec les fichiers de config des modules... par exemple, sur dansguardain, tu lui donnes le ip/port sur lequel il écoute, et celui sur lequel il fait ses demandes
enfin, je ne connais pas tous les modules non plus...
Envoyé par gorgonite
up... personne ne veut s'exprimer
hello,
j'ai un petit avis
Tes regles ne sont pas bonnes :
Tu supprime la regle qui autoriserai tous les paquets fowardés entre les interfaces à destination du réseau interne, ca, ok (quoi que normalement inutile). Par contre, tu ne rejete pas ces paquets (supprimer la règle n'est pas faire une regle de suppression ). Il faut espérer qu'une règle bloque les paquets entrant, (un forward drop) sinon ...# n'accepter les connexions extérieurs qu'en réponse à une demande interne
iptables -D FORWARD -d zone_ip_interne/255.255.255.0 -j ACCEPT
Niveau sécu, c'est limite à mon avis Et un peu confus de mélanger les -A et les -D
tu laisse passer tous les paquets "réponse", OK (quoique, pas de règles de redirection, donc, normalement les paquets "NEW" n'arrivent jamais ici : pas à destination de ta machine interne mais de ta passerelle).iptables -A FORWARD -d zone_ip_interne/255.255.255.0 -m state --state ESTABLISHED,RELATED -j ACCEPT
Par contre, tu n'a pas de règle qui autorise ici la machine interne à emettre des requetes (NEW) vers l'extérieur.
en plus, pas de filtrage de ports, tes regles s'adaptent à l'ensemble des connexions entrantes ...
A mon avis : (en supposant une politique par défaut à DROP)
(j'ai un doute sur le dport de la première ligne (dport ou sport ?).iptables -A FORWARD -d zone_ip_interne/255.255.255.0 -i eth0 -o eth1 --dport 22 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -s zone_ip_interne/255.255.255.0 -i eth1 -o eth0 --dport 22 -m state --state ! INVALID -j ACCEPT
##On active la translation d adresse pour l'ensemble du reseau local pour l ensemble des ports
iptables -t nat -A POSTROUTING -o eth0 -i eth1 -s zone_ip_interne/255.255.255.0 -d 0.0.0.0/0 -j MASQUERADE
++
PS : pour info gorgonite, l'article sur iptables devrait etre dispo en relecture en fin de semaine/ deb de semaine prochaine.
[edit] balises code -> balises quote
dport normalement, c'est bon...Envoyé par Spoutnik
en revanche, si j'ai bien compris, maintenant cela translate tous les ports "en sortie", ie depuis la zone verte on fait ce qu'on veut ; et ce n'est pas trop ce que je voulais... il faut que l'utilisateur soit conscient des risques pris à chaque ouverture de port, et qu'il juge si c'est vraiment nécessaire
je l'attends avec impatienceEnvoyé par Spoutnik
Non, ce n'est pas le cas :Envoyé par gorgonite
ici, tu n'autorise les requetes zone verte -> internet que sur le port 22, donc SSH à priori. D'ou l'importance des options -i et -o pour controler le sens des requetes!!!!iptables -A FORWARD -s zone_ip_interne/255.255.255.0 -i eth1 -o eth0 --dport 22 -m state --state ! INVALID -j ACCEPT
Si tu as une politique DROP par defaut, seules ces requetes seront autorisées, et il faudra ouvrir un par un les autres ports.
Oui, mais il ne faut pas forcement tomber dans l'excès inverse. A priori, la zone verte est une zone de confiance, les requetes qui sortent peuvent être considérées comme valides. Ca dépend de la sévérité de sécu, et de la volonté d'implication dans l'administration du firewall.il faut que l'utilisateur soit conscient des risques pris à chaque ouverture de port, et qu'il juge si c'est vraiment nécessaire
[edit] balises code -> balises quote
Mettez des quotes plutôt que des codes les gars, c'est plus lisible
nouvelle version... qu'en pensez-vous ?
je viens de voir qu'il existait cette ressource...
http://linux.developpez.com/secubook/node38.php
ça met en l'air tout notre boulot actuel
Y a peut etre a revoir dedans, a rajouter des choses non?
Le secubook est assez vieux (et c'est fait très souvent oublié..)
Mais non!Envoyé par gorgonite
Au contraire, ca fait un truc de plus qui permet de donner des idées.
Et puis, personnellement, j'aime pas trop les lignes mises dedans (reject et pas drop par ex).
Je l'ai lu en diagonale, mais je pense pas que qq un qui ne connait pas un peu d'avance IPtable (pour ne parler que de cette partie) puisse monter un firewall rapidement et sans s'arracher les cheveux, non?
++
+1, je trouve que votre travail est très orienté "formation en ligne", ce qui est vraiment interressant.
Envoyé par gorgonite
je pense que c'est désormais suffisamment complet...
gorgo> ok, demande une relecture dans le priv, pour que les membres de l'équipe le voient (pas sûr que tout le monde vienne voir souvent ici ).
Je vais le lire attentivement aussi dès que possible
Envoyé par ovh
j'ai demandé une relecture sur le dit-forum, mais je préviens ceux qui n'y ont pas accès que la rc1 est sortie...
la version définitive (enfin peut-être ) est sortie...
Cet article est en ligne ou pas ?Envoyé par gorgonite
il suffit de regarder sur l'index de gorgonite
http://gorgonite.developpez.com/tuto...ux/passerelle/
Vous avez un bloqueur de publicités installé.
Le Club Developpez.com n'affiche que des publicités IT, discrètes et non intrusives.
Afin que nous puissions continuer à vous fournir gratuitement du contenu de qualité, merci de nous soutenir en désactivant votre bloqueur de publicités sur Developpez.com.
Partager