configuration firewall

dj.bart · 13/01/2005 20:36:37

voila je commence serieusement à me pencher sur la mise en place d'un firewall,

je compte utilisé un script utilisé par armen voir là

je m'atarderai juste sur cette partie

# Paramètrage de la connexion Internet (WAN)
WAN_INTERFACE=eth1            ; # Interface modem
WAN_NETWORK=0.0.0.0/0

perso je me connecte via eth1, avec une ip dynamic (wanadoo)

eth1      Lien encap:Ethernet  HWaddr 00:50:8D:4F:01:85
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:6777 errors:0 dropped:0 overruns:0 frame:0
          TX packets:6686 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 lg file transmission:1000
          RX bytes:1017254 (993.4 KiB)  TX bytes:520795 (508.5 KiB)
          Interruption:23 Adresse de base:0xec00

que dois-je maitre dans la configuraton comme il n'y a pas d'ip ????

merci d'avance et si je suis pas claire, dites-le !!!

armen · 14/01/2005 10:52:02

voila je commence serieusement à me pencher sur la mise en place d'un firewall,

Attention, te penche pas trop, tu vas tomber

perso je me connecte via eth1, avec une ip dynamic (wanadoo)
8<...
que dois-je maitre dans la configuraton comme il n'y a pas d'ip ????

Tu touches à rien, je n'ai pas non plus d'ip fixe. Le script considère ce qui passe par l'interface eth1, sans filtrer sur l'adresse ip.

Au début, je récupérai l'adresse ip de eth1, mais quand Free me changeait d'adresse au bout de ~24h, ça ne marchait plus tant que je ne relançais pas le script.

Attention, si tu utilises pppoe, il faut sans doute mettre ppp0 au lieu de eth1.

J'espère avoir été compréhensible. En cas de souci, n'hésite pas à poser d'autres questions.

merci d'avance et si je suis pas claire, dites-le !!!

Je ne sais pas si tu t'appelles Claire ou pas, donc je ne peux pas te dire si tu es Claire

[edit]
Correction orthographe avant que Ledub ne s'en charge.
[/edit]

ledub · 14/01/2005 10:56:15

voilà je commence sérieusement à me pencher sur la mise en place d'un firewall,
je compte utiliser un script utilisé par armen voir là
je m'attarderai juste sur cette partie
# Paramètrage de la connexion Internet (WAN)
WAN_INTERFACE=eth1            ; # Interface modem
WAN_NETWORK=0.0.0.0/0 
perso je me connecte via eth1, avec une ip dynamique (wanadoo)
eth1      Lien encap:Ethernet  HWaddr 00:50:8D:4F:01:85
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:6777 errors:0 dropped:0 overruns:0 frame:0
          TX packets:6686 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 lg file transmission:1000
          RX bytes:1017254 (993.4 KiB)  TX bytes:520795 (508.5 KiB)
          Interruption:23 Adresse de base:0xec00
que dois-je mettre dans la configuration comme il n'y a pas d'ip ????
merci d'avance et si je ne suis pas clair, dites-le !!!

LeDub qui pense que DJ devrait lâcher ses platines pour prendre un dico !!

dj.bart · 14/01/2005 20:17:15

j'en suis désolé mon petit ledub....

c'était le soir, j'était fatigué.......

je sais, je ====>

non serieux, je ferai attention

ledub · 14/01/2005 22:21:10

[edit]
Correction orthographe avant que Ledub ne s'en charge.
[/edit]

dj.bart · 15/01/2005 01:14:07

oh, dit pas ça, on a l'habitude !!!!

dj.bart · 16/01/2005 11:57:59

bon ça commence à foncionner !!
mais j'ai deux soucis :

quand je lance le script j'ai cette erreur :

iptables v1.2.11: can't initialize iptables table `mangle': Table does not exist (do you need to insmod?)
Perhaps iptables or your kernel needs to be upgraded.

aprés recherche il doit me manquer un option dans la config du noyau mais la quelle ???? :?: je suis sous 2.6.6

où mêtre le script ??? je l'ai mis dans "/etc/network/if-pre-up.d"
et aprés reboot, le firewall n'est plus actif, il faut que je relance à la main,
il a les droits -rwxr-xr-- (ou 754)

merci pour vos lumières !!!!

ledub, si tu vois des fotes d'hortografe nezite pa a le fer savoire !!!!!!

Korova · 16/01/2005 18:30:57

Il y a effectivement un module pour la table mangle...
Pour info, voici ce que j'ai comme modules chargés liés à iptables (y'en a surment en trop)

[psct@tijeune]~$ lsmod | grep ip
ipt_ULOG 3592 2 (autoclean)
ip_nat_ftp 2864 0 (unused)
ip_conntrack_ftp 4016 1
ipt_state 536 8 (autoclean)
ipt_MASQUERADE 1624 1 (autoclean)
iptable_mangle 2168 0 (autoclean) (unused) -> C'est celui-là qu'il te réclame...
iptable_filter 1772 1
ip_conntrack_irc 3056 1 (autoclean)
ip_nat_irc 2192 0 (unused)
iptable_nat 16398 3 [ip_nat_ftp ipt_MASQUERADE ip_nat_irc]
ip_conntrack 20516 2 [ip_nat_ftp ip_conntrack_ftp ipt_state ipt_MASQUERADE ip_conntrack_irc ip_nat_irc iptable_nat]
ip_tables 12544 8 [ipt_ULOG ipt_state ipt_MASQUERADE iptable_mangle iptable_filter iptable_nat]

L'option du noyau à avoir : CONFIG_IP_NF_MANGLE=m

Si tu utilises make menuconfig (comme moi..)
Il faut aller dans
- device drivers
- Networking support
- Networking options
- Network packet filtering
- IP : Netfilter configuration
et mettre en module "Packet Mangling"

Mais cette table mangle, en fait, elle ne sert pratiquement jamais pour autant que j'aie compris (ou en tout cas, seuls des gens super-pointus savent s'en servir, pas nous les utilisateurs lambda, quoi...)

Pour lancer ton firewall automatiquement au démarrage de la bête, va faire un tour du côte de cet article du site. Il faut que tu fasses un script dans init.d qui appelle ton firewall, et après ton enregistre ton firewall où tu veux...

Le mien il ressemble à ça (c'est peut-être pas le meilleur, mais ça marche, enfin il me semble...)

#!/bin/sh
#
# Démarrage du Firewall
case "$1" in
start)
echo -n "Application des règles Iptables"
#lancement du firewall
/etc/firewall.sh -> C'est là que tu appelle le fichier qui contient les règles de ton firewall, donc tu le mets ou tu veux...
;;
stop)
echo "Remise à ACCEPT des politiques par defaut du firewall"
#Flush des règles iptables
/etc/flush_iptables.sh -> ça c'est un fichier tout bête qui met toutes le règles du firewall à ACCEPT
;;
restart)
echo -n "Redémarrage du firewall"
#flush des règles
/etc/flush_iptables.sh
# pause
sleep 1
#redémarrage
/etc/firewall.sh
;;
status)
/sbin/iptables -L
/sbin/iptables -t nat -L
;;
*)
echo "Utilisation : /etc/init.d/firewall : start|stop|restart|status" >&2
exit 1
esac
exit 0

En espérant t'avoir aidé

dj.bart · 16/01/2005 18:54:10

bon, je recompile le noyau et j'essaye le script !!!

faut dire que des option au niveau du réseau, il y en a la patate !!!!

merci koro, je te tiens au courant 8)

dj.bart · 17/01/2005 19:13:56

bon ça y'est le script démare bien,

j'ai fait un petit

update-rc.d firewall defaults 20

mais maintenant mon modem ne se connecte plus au démarage, il faut faire un petit

pon dsl-provider

quelle paramêtre idéale faut-il maitre pour un firewall ??? 20, 40 etc...

un petit extrait du /var/log/boot

Mon Jan 17 07:12:51 2005: + Règles pour Internet (ppp0 - - 0.0.0.0/0)
Mon Jan 17 07:12:51 2005: Bad argument `0.0.0.0/0'
Mon Jan 17 07:12:51 2005: Try `iptables -h' or 'iptables --help' for more information.
Mon Jan 17 07:12:51 2005: Bad argument `all'
Mon Jan 17 07:12:51 2005: Try `iptables -h' or 'iptables --help' for more information.

si je le refais étant connécté je n'ai plus ces erreurs !

merci d'avance,

j'avance, à petit pas, mais j'avance !!!

Korova · 17/01/2005 23:04:54

Mmm, j'y connais vraiment pas grand chose, mais je suppose qu'il faudrait que l'ordre de démarrage de ton firewall soit après le démarrage de la connexion internet... Il faudrait connaître le numéro de ton script qui démarre la connexion Internet, tu fais un update-rc machin avec un numéro supérieur pour ton firewall et le tour est joué, non ? (je sens que je suis pas très claire là... désolée, mais la reprise du travail le lundi c'est fatigant...)

Comment s'appelle le script qui démarre la connexion internet ?
Quel numéro il a dans /etc/rc1.d/ (par exemple)
Et après il faut que le script du firewall ait un numéro supérieur (ça doit se régler avec la commande update-rc bidule, mais la j'ai la flemme de relire le tuto..)

ledub · 17/01/2005 23:13:35

quelle paramêtre idéale faut-il maitre pour un firewall ??? 20, 40 etc...

Maître ?? oui c'est moi mais encore ???

LeDub qui aime jouer te temps en temps avec son Bart

P.S. Je pense la même chose que Korova la menteuse que j'ai attendue tout le Week-End, chez moi

armen · 18/01/2005 15:24:44

J'ai 30 secondes aujourd'hui, j'en profite pour mettre mon grain de sel (de mer, bien sûr) ...

Tu te connectes via ppp (pppoe ?), donc tu peux aussi mettre des scripts dans /etc/ppp/ip-up (ou quelques chose qui ressemble).

Ces scripts seront lancés quand la connexion est activée (ou /etc/ppp/ip-down pour les scripts à lancer quand la connexion est coupée).

dj.bart · 18/01/2005 20:32:22

bon aprés plusieurs tests, c'est la methode d'armen qui fonctionne !!!

donc merci à vous tous pour votre aide !!!

avant de reférmer la page, juste un ptit conseil sur http://www.pcflank.com/browser_test1.htm

j'ai ce résultat :

Results of the test:
Cookies check
Danger! Your computer may save special cookies on your hard drive that have the purpose of directing advertising or finding out your habits while web surfing.
Recommendation
We advise you to get personal firewall and/or anti-spyware software. We recommend AdAware Plus.
If you already have a firewall or anti-spyware program adjust it to block cookies. You can also block cookies using your browser if it supports cookies blocking feature
Referrer check
Danger! While visiting web sites your browser reveals private information (called 'referrer') about previous sites you have visited.
Recommendation
We advise you to get personal firewall software. If you already have a firewall program adjust it to block the distribution of such information (referrer).

bon les cookies on peut paramêtre firefox, mais le deuxièmme, je ne voie pas trop...

est-ce important ??? :?:

et encore une fois merci d'avance à tous !

Malekal_morte · 18/01/2005 20:56:38

bon les cookies on peut paramêtre firefox, mais le deuxièmme, je ne voie pas trop...
est-ce important ??? :?:
et encore une fois merci d'avance à tous !

ça veut dire que le site où tu vas sait quel site tu as visité avant.
ça permet de notamment de faire des stats pour les sites web.
genre il sait sur quel lien google tu as cliqué pour arriver sur le site, et donc quel mot clef tu as tapé pour trouver le site.
Ou si tu es venu à partir d'un site partenaire avec un lien etc...
mais ça pose des prb de confidentialités comme tu peux t'en douter.

tu as des extensions qui te permettent de cacher cela:
https://nic-nac-project.de/~kaosmos/hid … FF-en.html

j'ai pas testé perso

Andesi - forum

#1 13/01/2005 20:36:37

configuration firewall

#2 14/01/2005 10:52:02

Re : configuration firewall

#3 14/01/2005 10:56:15

Re : configuration firewall

#4 14/01/2005 20:17:15

Re : configuration firewall

#5 14/01/2005 22:21:10

Re : configuration firewall

#6 15/01/2005 01:14:07

Re : configuration firewall

#7 16/01/2005 11:57:59

Re : configuration firewall

#8 16/01/2005 18:30:57

Re : configuration firewall

#9 16/01/2005 18:54:10

Re : configuration firewall

#10 17/01/2005 19:13:56

Re : configuration firewall

#11 17/01/2005 23:04:54

Re : configuration firewall

#12 17/01/2005 23:13:35

Re : configuration firewall

#13 18/01/2005 15:24:44

Re : configuration firewall

#14 18/01/2005 20:32:22

Re : configuration firewall

#15 18/01/2005 20:56:38

Re : configuration firewall

Pied de page des forums