[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [linux] Help firewall, anyone ?



On Wednesday 01 August 2001 12:24, you wrote:
> Hep ;)
>
> Je suis en train de me préparer pour installer un
> firewall Linux dans une petite boîte.

boite = entreprise ou minitower ?

si c'est une entreprise, une solution simple et économique est possible avec 
un 'baricade', (10000 BEF). 
SMC 7004 Baricade Router

C'est un router/firewall qui fait du NAT, DMZ etc, avec configuration à 
distance par browser; de plus il est aussi un print server -> au moins 2 en 1 
;-) 

L'avantage sur la récup d'un vieux PC c'est que tout est statique, pas de 
ventilo, pas de HD -> moins de risque de panne.

J'ai un ami qui en a déjà placé dans de petites PME et en est bien content 
(alors qu'il a déjà placé du PC de récup + Linux + ipchains)

Pour ma part, je suis en train de préparer un essai avec le SuSE firewall sur 
CD (qui doit etre disponible rapidement) : l'avantage est de garder les 
exécutables sur un support strictement RO : un reboot garantit de repartir 
sur de bonnes bases (je leur ai demandé plus de précisions, mais j'attends...)
Il faudrait qu'il y ait un service 

De mon expérience avec les ipchains, il n'est pas facile tout bien gérer 'à 
la main' sans s'investir et expérimenter : j'avais monté un mini réseau avec 
3 PCs pour simuler les 3 branches + 1 PC firewall. 
Je crois que c'est le plus sur moyen de tester les règles : en les stressant 
avec des outils réels. Je suis incapable de répondre à ta question, c-à-d 
lire un jeu de règles non trivial et etre certain que tout est correct...
 

	Bon courage,

	Alain
 
>
> C'est un chouya complexe car il y a une caisse (Linux)
> en DMZ qui va faire serveur web (http+https) pour
> l'extérieur ainsi que serveur SMTP, DNS et IMAP pour
> le LAN.
>
> Je connais pas trop mal TCP/IP et je me suis tapé plein
> de manpages et de HOWTOs sur le sujet (ipchains et un
> peu iptables).
>
> J'ai bricolé un script shell pas trop mal (vous me
> connaissez, hein ;)) à partir d'une base apparamment
> bien faite dans le ipchains-howto (à la fin).
>
> Je vais également me lancer dans Squid pour installer
> un cache et pour bloquer des URLs suspectes (faut
> bien surveiller les employés ;)).
>
> (puis tripwire, snort ou PortSentry, inflex, etc...)
>
> Bon, voilà ma question (on va y venir ;)): est-ce qu'une
> bonne âme s'y connaissant bien en firewalls Linux voudrait
> bien jeter un oeil sur mon script (et/ou les commandes
> ipchains générées par le script) pour voir si ca risque
> de marcher ou si j'ai oublié qqe chose ?
> (c'est assez bien documenté dans le source)
> Alex ? Jef ? Vincent ? :)
>
> Ce serait vraiment sympa (et puis pour une fois que je
> demande qqe chose ;)))...
>
> Y a notamment un truc qui me turlupine: dans ce script
> d'exemple dans le ipchains-howto, ils créent également
> des chaines pour le firewall-même (en faisant
> --destination et l'IP du firewall sur ses interfaces
> world, LAN et DMZ). Mais ils y mettent plein de protos
> (traceroute, domain, ...) que je ne veux pas autoriser
> (enfin, je n'en vois pas l'utilité pour les users sur
> le réseau ;)): je me demandais s'il fallait y mettre
> tous les services que j'autorise dans les chaines normales
> (world -> DMZ, LAN -> world, ...), du genre prévoir
> "pong" si j'autorise le "ping", etc...
>
> Ah oui, autre chose: ils vont avoir une ligne fixe BT
> avec un Cisco 850 en front. Y a qqe chose de spécial
> à savoir/faire ?
>
> Merci pour toute aide ;)
>
> --
>   -o) / Pascal Bleser                   ATOS Origin|
>   /\\ \ e-Business Platform         Aachen, Germany|
>  _\_v  \<guru@linuxbe.org> <pbleser@atosorigin.com>|
> ---------------------------------------------------|
> Jesus saves, but Buddha makes incremental backups  :
> ---------------------------------------------------'
>
> [ Soyez précis dans vos sujets svp afin de déterminer directement  ]
> [ le type de demande...                                            ]
> [ Pour vous (dés)inscrire, aller sur http://linuxbe.org/ml.php     ]
> [ Archives de la mailing list: http://archives.linuxbe.org/linux/  ]
> [ http://LinuxBe.org              Contact: listmaster@linuxbe.org  ]

-- 
	Bon amusement,

	Alain
+--------------------------------------------------------------------------------------
|  Dr Alain EMPAIN      Bioinformatique, Génétique Moléculaire B43,
|  Fac. Méd. Vétérinaire, Univ. de Liège, Sart-Tilman / B-4000 Liège  
|       Alain.EMPAIN@ulg.ac.be
|       WORK:+32 4 366 3821 Fax: +32 4 366 4122   GSM:+32 497 701764
|       HOME:+32 85 512341  -- Rue des Martyrs,7  B-4550 Nandrin

[ Soyez précis dans vos sujets svp afin de déterminer directement  ]
[ le type de demande...                                            ]
[ Pour vous (dés)inscrire, aller sur http://linuxbe.org/ml.php     ]
[ Archives de la mailing list: http://archives.linuxbe.org/linux/  ]
[ http://LinuxBe.org              Contact: listmaster@linuxbe.org  ]