[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [linux] SuSEfirewall2



-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Bon, et bien allons-y alors.

Un poste qui donne les services suivant:

Apache sur 8080 [4343 pour SSL si possible]
PROFTPD sur 2121
Postfix

+Le temps sur 123 ["Client"]

En bref, pas de réseau domestique complexe, juste une machine derrière le 
proxy du provider [d'où les ports exotiques] qui fait tout, elle donne, elle 
reçoit et elle fait même des p...

Dans un premier temps, je veux tout bloquer excepté les service mentionnés 
ci-dessus. J'ai déjà commencé la config et visiblement tout fonctionne bien 
excepté Apache qui n'est plus accessible.

Ci-joint, une config vierge et les entrées dont je pense qu'elle sont à 
l'origine du problème. Toute les idées sont les bienvenue. Une récompense 
substantielle sera accordée à la meilleures config ;o)))

- -- 
***********************************************************************************
CORNELY Nicolas - nicolas@cornely.org / www.cornely.org - BELGIUM

***********************************************************************************
This mail may content professional, personnal or confidential informations.
If U are not its intended recipient, please delete it as soon as possible.

***********************************************************************************
POWERED BY KMAIL / SUSE LINUX 7.3
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: For info see http://www.gnupg.org

iD8DBQE8c5mpux9ia+8PbaMRArk4AJ4gTQw/qBdhUsJJUDABcANl+0sObgCfXXBm
gLlehykza87dz/KBbIV8aIM=
=VU2G
-----END PGP SIGNATURE-----
#
# INTERFACE(S) CONNECTEE(S)
FW_DEV_EXT="eth0"

#
# INTERFACE(S) INTERNE(S)
FW_DEV_INT=""

#
# DMZ/DIALUP
FW_DEV_DMZ=""

#
# ROUTE
FW_ROUTE="no"

#
# MASQUERADE
FW_MASQUERADE="no"


# INTERFACE POUR MASQUERADE
FW_MASQ_DEV="$FW_DEV_EXT"

#
# INTERNE => EXTERNE
FW_MASQ_NETS=""

#
# PROTECTION DU FIREWALL CONTRE LE RESEAU INTERNE
FW_PROTECT_FROM_INTERNAL="no"

#
# AUTOPROTECTION DU SYTEME SUR LES SERVICES
FW_AUTOPROTECT_SERVICES="yes"

#
# DEFINITION DES SERVICES AUTORISES
FW_SERVICE_AUTODETECT="yes"

FW_SERVICES_EXT_TCP=""
FW_SERVICES_EXT_UDP=""
FW_SERVICES_EXT_IP=""

FW_SERVICES_DMZ_TCP=""
FW_SERVICES_DMZ_UDP=""
FW_SERVICES_DMZ_IP=""

FW_SERVICES_INT_TCP=""
FW_SERVICES_INT_UDP=""
FW_SERVICES_INT_IP=""

FW_SERVICE_DNS="no"
FW_SERVICE_DHCLIENT="yes"
FW_SERVICE_DHCPD="no"
FW_SERVICE_SQUID="no"
FW_SERVICE_SAMBA="no"

#
# HOTES ET RESEAUX DE CONFIANCE
FW_TRUSTED_NETS=""

#
# AUTORISATION SUR LES HIGHPORTS [>1023]
FW_ALLOW_INCOMING_HIGHPORTS_TCP=""
FW_ALLOW_INCOMING_HIGHPORTS_UDP=""

#
# FORWARD MASQUERADE
FW_FORWARD_MASQ=""

#
# REDIRECTION DES SERVICES
FW_REDIRECT=""

#
# PERSISTANCE DU ROUTAGE
FW_STOP_KEEP_ROUTING_STATE="no"

#
# ECHO PING
FW_ALLOW_PING_FW="no"
FW_ALLOW_PING_DMZ="no"
FW_ALLOW_PING_EXT="no"

#
# TRACEROUTE
FW_ALLOW_FW_TRACEROUTE="no"

#
# ICMP SOURCEQUENCH DE LA PART DE L'ISP
FW_ALLOW_FW_SOURCEQUENCH="no"

#
# IP BROADCASTS
FW_ALLOW_FW_BROADCAST="no"
FW_IGNORE_FW_BROADCAST="yes"

#
# OPTIONS DE SECURITE SUPPLEMENTAIRES DU NOYEAU
FW_KERNEL_SECURITY="yes"

#
# LOGS
FW_LOG_DROP_CRIT="yes"
FW_LOG_DROP_ALL="no"
FW_LOG_ACCEPT_CRIT="yes"
FW_LOG_ACCEPT_ALL="no"

#
# DEFINITION DES SERVICES AUTORISES

FW_SERVICES_EXT_TCP="" => J'ai tenté 8080 2121, www 2121 
FW_SERVICES_EXT_UDP=""
FW_SERVICES_EXT_IP=""

FW_SERVICES_DMZ_TCP=""
FW_SERVICES_DMZ_UDP=""
FW_SERVICES_DMZ_IP=""

FW_SERVICES_INT_TCP=""
FW_SERVICES_INT_UDP=""
FW_SERVICES_INT_IP=""

FW_SERVICE_DNS="no"
FW_SERVICE_DHCLIENT="yes"
FW_SERVICE_DHCPD="no"
FW_SERVICE_SQUID="no"
FW_SERVICE_SAMBA="no"

#
# AUTORISATION SUR LES HIGHPORTS [>1023]
FW_ALLOW_INCOMING_HIGHPORTS_TCP="ftp-data 2121 8080" => Ceci ne corrige rien non plus
FW_ALLOW_INCOMING_HIGHPORTS_UDP="dns ntp"