[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: [linux] Help firewall, anyone ?
On Wednesday 01 August 2001 12:24, you wrote:
> Hep ;)
>
> Je suis en train de me préparer pour installer un
> firewall Linux dans une petite boîte.
boite = entreprise ou minitower ?
si c'est une entreprise, une solution simple et économique est possible avec
un 'baricade', (10000 BEF).
SMC 7004 Baricade Router
C'est un router/firewall qui fait du NAT, DMZ etc, avec configuration à
distance par browser; de plus il est aussi un print server -> au moins 2 en 1
;-)
L'avantage sur la récup d'un vieux PC c'est que tout est statique, pas de
ventilo, pas de HD -> moins de risque de panne.
J'ai un ami qui en a déjà placé dans de petites PME et en est bien content
(alors qu'il a déjà placé du PC de récup + Linux + ipchains)
Pour ma part, je suis en train de préparer un essai avec le SuSE firewall sur
CD (qui doit etre disponible rapidement) : l'avantage est de garder les
exécutables sur un support strictement RO : un reboot garantit de repartir
sur de bonnes bases (je leur ai demandé plus de précisions, mais j'attends...)
Il faudrait qu'il y ait un service
De mon expérience avec les ipchains, il n'est pas facile tout bien gérer 'à
la main' sans s'investir et expérimenter : j'avais monté un mini réseau avec
3 PCs pour simuler les 3 branches + 1 PC firewall.
Je crois que c'est le plus sur moyen de tester les règles : en les stressant
avec des outils réels. Je suis incapable de répondre à ta question, c-à-d
lire un jeu de règles non trivial et etre certain que tout est correct...
Bon courage,
Alain
>
> C'est un chouya complexe car il y a une caisse (Linux)
> en DMZ qui va faire serveur web (http+https) pour
> l'extérieur ainsi que serveur SMTP, DNS et IMAP pour
> le LAN.
>
> Je connais pas trop mal TCP/IP et je me suis tapé plein
> de manpages et de HOWTOs sur le sujet (ipchains et un
> peu iptables).
>
> J'ai bricolé un script shell pas trop mal (vous me
> connaissez, hein ;)) à partir d'une base apparamment
> bien faite dans le ipchains-howto (à la fin).
>
> Je vais également me lancer dans Squid pour installer
> un cache et pour bloquer des URLs suspectes (faut
> bien surveiller les employés ;)).
>
> (puis tripwire, snort ou PortSentry, inflex, etc...)
>
> Bon, voilà ma question (on va y venir ;)): est-ce qu'une
> bonne âme s'y connaissant bien en firewalls Linux voudrait
> bien jeter un oeil sur mon script (et/ou les commandes
> ipchains générées par le script) pour voir si ca risque
> de marcher ou si j'ai oublié qqe chose ?
> (c'est assez bien documenté dans le source)
> Alex ? Jef ? Vincent ? :)
>
> Ce serait vraiment sympa (et puis pour une fois que je
> demande qqe chose ;)))...
>
> Y a notamment un truc qui me turlupine: dans ce script
> d'exemple dans le ipchains-howto, ils créent également
> des chaines pour le firewall-même (en faisant
> --destination et l'IP du firewall sur ses interfaces
> world, LAN et DMZ). Mais ils y mettent plein de protos
> (traceroute, domain, ...) que je ne veux pas autoriser
> (enfin, je n'en vois pas l'utilité pour les users sur
> le réseau ;)): je me demandais s'il fallait y mettre
> tous les services que j'autorise dans les chaines normales
> (world -> DMZ, LAN -> world, ...), du genre prévoir
> "pong" si j'autorise le "ping", etc...
>
> Ah oui, autre chose: ils vont avoir une ligne fixe BT
> avec un Cisco 850 en front. Y a qqe chose de spécial
> à savoir/faire ?
>
> Merci pour toute aide ;)
>
> --
> -o) / Pascal Bleser ATOS Origin|
> /\\ \ e-Business Platform Aachen, Germany|
> _\_v \<guru@linuxbe.org> <pbleser@atosorigin.com>|
> ---------------------------------------------------|
> Jesus saves, but Buddha makes incremental backups :
> ---------------------------------------------------'
>
> [ Soyez précis dans vos sujets svp afin de déterminer directement ]
> [ le type de demande... ]
> [ Pour vous (dés)inscrire, aller sur http://linuxbe.org/ml.php ]
> [ Archives de la mailing list: http://archives.linuxbe.org/linux/ ]
> [ http://LinuxBe.org Contact: listmaster@linuxbe.org ]
--
Bon amusement,
Alain
+--------------------------------------------------------------------------------------
| Dr Alain EMPAIN Bioinformatique, Génétique Moléculaire B43,
| Fac. Méd. Vétérinaire, Univ. de Liège, Sart-Tilman / B-4000 Liège
| Alain.EMPAIN@ulg.ac.be
| WORK:+32 4 366 3821 Fax: +32 4 366 4122 GSM:+32 497 701764
| HOME:+32 85 512341 -- Rue des Martyrs,7 B-4550 Nandrin
[ Soyez précis dans vos sujets svp afin de déterminer directement ]
[ le type de demande... ]
[ Pour vous (dés)inscrire, aller sur http://linuxbe.org/ml.php ]
[ Archives de la mailing list: http://archives.linuxbe.org/linux/ ]
[ http://LinuxBe.org Contact: listmaster@linuxbe.org ]