[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: [linux] IPTables
le lun 04-03-2002 à 12:03, Pascal Bleser a écrit :
> Ca dépend tjs de ce que tu veux faire (simple station de travail,
> LAN, DMZ, ... ?), mais il faut bien comprendre que la configuration d'un
> firewall est une chose complexe qui nécessite une bonne compréhension
> de TCP/IP et des différents protocoles (HTTP, FTP, ...).
Je suis plutot dans le cadre d'un réseau avec DMZ, zone privé et IP
masquerading sur le routeur/firewall :)
Bref, pas si simple que ça, mais probablement pas trop compliqué non
plus.
> Pour les configuration simples (p.ex. ta station de travail connectée
> à internet), c'est effectivement assez facile.
> Mais pour protéger un réseau d'entreprise, avec une DMZ et des serveurs
> web, mail et FTP (p.ex.), c'est déjà plus compliqué.
> Enfin, du moins, il faut comprendre ce que l'on fait.
Voilà, exactement... Bien que j'ai la matrise de tout le réseau et de
bonnes connaissances en TCP/IP, les firewall me sont jusque maintenant
inconnus.
> Aucun outil du monde ne pourra t'aider pour le faire.
Aider si, me remplacer, non... c'est clair
> Au contraire, c'est plutôt une limitation, à moins d'avoir un outil très
> complet (qui offre toutes les options de iptables), mais dans ce cas, c'est
> quasiment tout aussi facile d'écrire ses règles iptables soi-même.
C'est un fait. C'est ce que j'explique qd je donne des séminaires
linux... la puissance de la ligne de commande. Quoiqu'il faut
l'admettre, le travail des programmeur fait que les interfaces
graphiques offrent de plus en plus de possibilités.
> Il y a un très bon tutorial (en anglais) sur iptables:
> http://freshmeat.net/search?q=iptables+tutorial
Ah... j'imprime et je lis... qd j'ai l'occasion...
> Je me suis écrit qqes fonctions shell et un script qui passe les règles à
> iptables en ligne de commande. Comme ça, tu peux utiliser toutes les options
> et la "pleine puissance" d'iptables (qui ne manque pas de features très
> intéressants :-)).
> C'est sans doute la raison pour laquelle fwbuilder te semble complexe:
> ce n'est finalement qu'un front-end graphique pour créer des règles, des
> appels à iptables.
> Matière complexe => outils complexes.
Oui, surement. un de mes collègues m'a dit que fwbuilder avait un look
semblable à celui des programmes de paramétrage des firewall CheckPoint.
De toute manière, faudra bien que je m'y mette...
> Mais si tu as qqes infos (ne donne pas tes *vraies* adresses IP, hein ;-))),
> on pourra t'aider sur la liste...
> Je pense qu'on est qqes-uns à être très capables dans le domaine...
>
Bah,sincèrement, même si je donne mes vrais ranges d'adresses interne,
ca n'a aucune importance :)
Alors...
Soit une DMZ (adresse privée de type 192.168.0.x) comportant 2 serveur
web et une messagerie. Un des serveurs web sert aussi de synchronisateur
temporel pour tout le réseau interne et se synchronise lui-même via
ntpdate. Chacun de ses serveurs dispose d'une adresse IP non privée
qu'il faudra mapper avec son adresse privée.
Soit une zone de type réseau d'entreprise ( type 10.0.0.0 ) subdivisée
en branche (par exemple tous les PC utilisateurs sont de la forme
10.10.1.0, les serveurs NT INTERNES de type 10.10.2.0 et les serveurs
linux INTERNES , 10.10.3.0). Les PC du lan se partagent une ou plusieurs
adresses non privées pour sortir sur le web
L'idée générale est :
* permettre aux utilisateurs de sortir du réseau sur Internet:
recherche, instant messenger (?)..., d'accèder aux serveurs dans la DMZ
en consultation (relever les mails et consulter les pages web), de
synchroniser leur PC sur le serveurqui offre se service par
l'intermédiare de samba (Question: ne serait-il pas mieux de mettre ce
serveur dans le réseau interne?)
* permettre aux "étrangers" d'accéder à nos serveurs web et mail de la
DMZ pour les services autorisés.
* interdire l'accès à la partie privée de notre réseau à tout "étranger"
J'espère que mes explications sont claires et vous permettront de
m'aider :)
--
Kennedy van Dam Eric
Multitel ASBL
Administrateur Système - Ingénieur Certifié RedHat
Url:http://telecom.fpms.ac.be
Mail: eric.kennedy@telecom.fpms.ac.be
_______________________________________________
Linux Mailing List
Archives: http://unixtech.be/mailman/listinfo/linux