[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: [linux] SuSEfirewall2
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Bon, et bien allons-y alors.
Un poste qui donne les services suivant:
Apache sur 8080 [4343 pour SSL si possible]
PROFTPD sur 2121
Postfix
+Le temps sur 123 ["Client"]
En bref, pas de réseau domestique complexe, juste une machine derrière le
proxy du provider [d'où les ports exotiques] qui fait tout, elle donne, elle
reçoit et elle fait même des p...
Dans un premier temps, je veux tout bloquer excepté les service mentionnés
ci-dessus. J'ai déjà commencé la config et visiblement tout fonctionne bien
excepté Apache qui n'est plus accessible.
Ci-joint, une config vierge et les entrées dont je pense qu'elle sont à
l'origine du problème. Toute les idées sont les bienvenue. Une récompense
substantielle sera accordée à la meilleures config ;o)))
- --
***********************************************************************************
CORNELY Nicolas - nicolas@cornely.org / www.cornely.org - BELGIUM
***********************************************************************************
This mail may content professional, personnal or confidential informations.
If U are not its intended recipient, please delete it as soon as possible.
***********************************************************************************
POWERED BY KMAIL / SUSE LINUX 7.3
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.0.6 (GNU/Linux)
Comment: For info see http://www.gnupg.org
iD8DBQE8c5mpux9ia+8PbaMRArk4AJ4gTQw/qBdhUsJJUDABcANl+0sObgCfXXBm
gLlehykza87dz/KBbIV8aIM=
=VU2G
-----END PGP SIGNATURE-----
#
# INTERFACE(S) CONNECTEE(S)
FW_DEV_EXT="eth0"
#
# INTERFACE(S) INTERNE(S)
FW_DEV_INT=""
#
# DMZ/DIALUP
FW_DEV_DMZ=""
#
# ROUTE
FW_ROUTE="no"
#
# MASQUERADE
FW_MASQUERADE="no"
# INTERFACE POUR MASQUERADE
FW_MASQ_DEV="$FW_DEV_EXT"
#
# INTERNE => EXTERNE
FW_MASQ_NETS=""
#
# PROTECTION DU FIREWALL CONTRE LE RESEAU INTERNE
FW_PROTECT_FROM_INTERNAL="no"
#
# AUTOPROTECTION DU SYTEME SUR LES SERVICES
FW_AUTOPROTECT_SERVICES="yes"
#
# DEFINITION DES SERVICES AUTORISES
FW_SERVICE_AUTODETECT="yes"
FW_SERVICES_EXT_TCP=""
FW_SERVICES_EXT_UDP=""
FW_SERVICES_EXT_IP=""
FW_SERVICES_DMZ_TCP=""
FW_SERVICES_DMZ_UDP=""
FW_SERVICES_DMZ_IP=""
FW_SERVICES_INT_TCP=""
FW_SERVICES_INT_UDP=""
FW_SERVICES_INT_IP=""
FW_SERVICE_DNS="no"
FW_SERVICE_DHCLIENT="yes"
FW_SERVICE_DHCPD="no"
FW_SERVICE_SQUID="no"
FW_SERVICE_SAMBA="no"
#
# HOTES ET RESEAUX DE CONFIANCE
FW_TRUSTED_NETS=""
#
# AUTORISATION SUR LES HIGHPORTS [>1023]
FW_ALLOW_INCOMING_HIGHPORTS_TCP=""
FW_ALLOW_INCOMING_HIGHPORTS_UDP=""
#
# FORWARD MASQUERADE
FW_FORWARD_MASQ=""
#
# REDIRECTION DES SERVICES
FW_REDIRECT=""
#
# PERSISTANCE DU ROUTAGE
FW_STOP_KEEP_ROUTING_STATE="no"
#
# ECHO PING
FW_ALLOW_PING_FW="no"
FW_ALLOW_PING_DMZ="no"
FW_ALLOW_PING_EXT="no"
#
# TRACEROUTE
FW_ALLOW_FW_TRACEROUTE="no"
#
# ICMP SOURCEQUENCH DE LA PART DE L'ISP
FW_ALLOW_FW_SOURCEQUENCH="no"
#
# IP BROADCASTS
FW_ALLOW_FW_BROADCAST="no"
FW_IGNORE_FW_BROADCAST="yes"
#
# OPTIONS DE SECURITE SUPPLEMENTAIRES DU NOYEAU
FW_KERNEL_SECURITY="yes"
#
# LOGS
FW_LOG_DROP_CRIT="yes"
FW_LOG_DROP_ALL="no"
FW_LOG_ACCEPT_CRIT="yes"
FW_LOG_ACCEPT_ALL="no"
#
# DEFINITION DES SERVICES AUTORISES
FW_SERVICES_EXT_TCP="" => J'ai tenté 8080 2121, www 2121
FW_SERVICES_EXT_UDP=""
FW_SERVICES_EXT_IP=""
FW_SERVICES_DMZ_TCP=""
FW_SERVICES_DMZ_UDP=""
FW_SERVICES_DMZ_IP=""
FW_SERVICES_INT_TCP=""
FW_SERVICES_INT_UDP=""
FW_SERVICES_INT_IP=""
FW_SERVICE_DNS="no"
FW_SERVICE_DHCLIENT="yes"
FW_SERVICE_DHCPD="no"
FW_SERVICE_SQUID="no"
FW_SERVICE_SAMBA="no"
#
# AUTORISATION SUR LES HIGHPORTS [>1023]
FW_ALLOW_INCOMING_HIGHPORTS_TCP="ftp-data 2121 8080" => Ceci ne corrige rien non plus
FW_ALLOW_INCOMING_HIGHPORTS_UDP="dns ntp"