[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

Re: [linux] Help firewall, anyone ?



Hoy,

Ben, Pascal qui pose une question... envoye donc ton scripteke..

Bon, niveau addressage, je suppose que c'est ok (la ligne entre le router et
la linux et celles de la DMZ).
Il faut faire attention a la coupure des ICMP sur ton firewall: Windows fait
du Path MTU Discovery dans son stack TCP (je ne sais pas, mais je suppose
bien pour d'autres OS aussi). Rapidement le principe: le stack envoye des
packets tres gros et recalibre la taille si il recoit des ICMP: DF bit set
but must fragment. Donc, tu pourrais avoir des choses bizarre avec du
traffic FTP , des problemes du genre --> pas mal de gens laissent ICMP
passer, (certains messages courant en tout cas). Pour le traffic DNS? ca
dépends de ton architecture, si tu as un cashing NameServer sur la dmz,
c'est ok.

Le traffic de retour maintenant: ipchains est un simple packet filter: ca va
permettre ou  non les packets de passer au travers. Maintenant, iptables,
c'est du statefull firewalling, cad que ipconntrack garde une table des
connections pour permettre le traffic de retour. Perso, je suis fana de
iptable: d'un point de vue config, c'est vraiment easy (genre aucune
nouvelle connections vers l'inside, autoriser vers dmz port 80 et related,
et c'est terminé).

Dernier point, si tu as les sousous de te payer une autre carte rézo, je
séparerais les services LAN de ceux d'internet, physiquement (pas la meme
carte réseau, pas le meme switch/hub)

JeF

----- Original Message -----
From: "Pascal Bleser" <pbleser@atosorigin.com>
To: "lxbe/linux" <linux@lists.linuxbe.org>
Sent: Wednesday, August 01, 2001 12:24 PM
Subject: [linux] Help firewall, anyone ?


> Hep ;)
>
> Je suis en train de me préparer pour installer un
> firewall Linux dans une petite boîte.
>
> C'est un chouya complexe car il y a une caisse (Linux)
> en DMZ qui va faire serveur web (http+https) pour
> l'extérieur ainsi que serveur SMTP, DNS et IMAP pour
> le LAN.
>
> Je connais pas trop mal TCP/IP et je me suis tapé plein
> de manpages et de HOWTOs sur le sujet (ipchains et un
> peu iptables).
>
> J'ai bricolé un script shell pas trop mal (vous me
> connaissez, hein ;)) à partir d'une base apparamment
> bien faite dans le ipchains-howto (à la fin).
>
> Je vais également me lancer dans Squid pour installer
> un cache et pour bloquer des URLs suspectes (faut
> bien surveiller les employés ;)).
>
> (puis tripwire, snort ou PortSentry, inflex, etc...)
>
> Bon, voilà ma question (on va y venir ;)): est-ce qu'une
> bonne âme s'y connaissant bien en firewalls Linux voudrait
> bien jeter un oeil sur mon script (et/ou les commandes
> ipchains générées par le script) pour voir si ca risque
> de marcher ou si j'ai oublié qqe chose ?
> (c'est assez bien documenté dans le source)
> Alex ? Jef ? Vincent ? :)
>
> Ce serait vraiment sympa (et puis pour une fois que je
> demande qqe chose ;)))...
>
> Y a notamment un truc qui me turlupine: dans ce script
> d'exemple dans le ipchains-howto, ils créent également
> des chaines pour le firewall-même (en faisant
> --destination et l'IP du firewall sur ses interfaces
> world, LAN et DMZ). Mais ils y mettent plein de protos
> (traceroute, domain, ...) que je ne veux pas autoriser
> (enfin, je n'en vois pas l'utilité pour les users sur
> le réseau ;)): je me demandais s'il fallait y mettre
> tous les services que j'autorise dans les chaines normales
> (world -> DMZ, LAN -> world, ...), du genre prévoir
> "pong" si j'autorise le "ping", etc...
>
> Ah oui, autre chose: ils vont avoir une ligne fixe BT
> avec un Cisco 850 en front. Y a qqe chose de spécial
> à savoir/faire ?
>
> Merci pour toute aide ;)
>
> --
>   -o) / Pascal Bleser                   ATOS Origin|
>   /\\ \ e-Business Platform         Aachen, Germany|
>  _\_v  \<guru@linuxbe.org> <pbleser@atosorigin.com>|
> ---------------------------------------------------|
> Jesus saves, but Buddha makes incremental backups  :
> ---------------------------------------------------'
>
> [ Soyez précis dans vos sujets svp afin de déterminer directement  ]
> [ le type de demande...                                            ]
> [ Pour vous (dés)inscrire, aller sur http://linuxbe.org/ml.php     ]
> [ Archives de la mailing list: http://archives.linuxbe.org/linux/  ]
> [ http://LinuxBe.org              Contact: listmaster@linuxbe.org  ]
>


[ Soyez précis dans vos sujets svp afin de déterminer directement  ]
[ le type de demande...                                            ]
[ Pour vous (dés)inscrire, aller sur http://linuxbe.org/ml.php     ]
[ Archives de la mailing list: http://archives.linuxbe.org/linux/  ]
[ http://LinuxBe.org              Contact: listmaster@linuxbe.org  ]