[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[linux] Help firewall, anyone ?



Hep ;)

Je suis en train de me préparer pour installer un
firewall Linux dans une petite boîte.

C'est un chouya complexe car il y a une caisse (Linux)
en DMZ qui va faire serveur web (http+https) pour
l'extérieur ainsi que serveur SMTP, DNS et IMAP pour
le LAN.

Je connais pas trop mal TCP/IP et je me suis tapé plein
de manpages et de HOWTOs sur le sujet (ipchains et un
peu iptables).

J'ai bricolé un script shell pas trop mal (vous me
connaissez, hein ;)) à partir d'une base apparamment
bien faite dans le ipchains-howto (à la fin).

Je vais également me lancer dans Squid pour installer
un cache et pour bloquer des URLs suspectes (faut
bien surveiller les employés ;)).

(puis tripwire, snort ou PortSentry, inflex, etc...)

Bon, voilà ma question (on va y venir ;)): est-ce qu'une
bonne âme s'y connaissant bien en firewalls Linux voudrait
bien jeter un oeil sur mon script (et/ou les commandes
ipchains générées par le script) pour voir si ca risque
de marcher ou si j'ai oublié qqe chose ?
(c'est assez bien documenté dans le source)
Alex ? Jef ? Vincent ? :)

Ce serait vraiment sympa (et puis pour une fois que je
demande qqe chose ;)))...

Y a notamment un truc qui me turlupine: dans ce script
d'exemple dans le ipchains-howto, ils créent également
des chaines pour le firewall-même (en faisant
--destination et l'IP du firewall sur ses interfaces
world, LAN et DMZ). Mais ils y mettent plein de protos
(traceroute, domain, ...) que je ne veux pas autoriser
(enfin, je n'en vois pas l'utilité pour les users sur
le réseau ;)): je me demandais s'il fallait y mettre
tous les services que j'autorise dans les chaines normales
(world -> DMZ, LAN -> world, ...), du genre prévoir
"pong" si j'autorise le "ping", etc...

Ah oui, autre chose: ils vont avoir une ligne fixe BT
avec un Cisco 850 en front. Y a qqe chose de spécial
à savoir/faire ?

Merci pour toute aide ;)

--
  -o) / Pascal Bleser                   ATOS Origin|
  /\\ \ e-Business Platform         Aachen, Germany|
 _\_v  \<guru@linuxbe.org> <pbleser@atosorigin.com>|
---------------------------------------------------|
Jesus saves, but Buddha makes incremental backups  :
---------------------------------------------------'

[ Soyez précis dans vos sujets svp afin de déterminer directement  ]
[ le type de demande...                                            ]
[ Pour vous (dés)inscrire, aller sur http://linuxbe.org/ml.php     ]
[ Archives de la mailing list: http://archives.linuxbe.org/linux/  ]
[ http://LinuxBe.org              Contact: listmaster@linuxbe.org  ]