Création d'un firewall

arimane · 05/12/2010, 20h02

Bonjour,

Je voudrais crée un firewall pour mon projet de fin d'étude, genre ipcop,iptable mais le problème c'est que je ne sais pas trop par quoi commencé dans le sens ou es qu'il y a des livres qui peuvent aidé ?

Merci de vos réponses

becket · 05/12/2010, 20h03

Créer un firewall sous windows ? C'est pas le meilleur OS pour ce genre de travail

Benj. · 05/12/2010, 20h11

Créer un firewall ou mettre en place un firewall ? La différence est grande mine de rien.

arimane · 05/12/2010, 20h16

Crée un firewall et non pas la mise en place d'un firewall, non ca sera pas sous windows mais sous linux

mptijr · 13/01/2011, 11h40

vraiment costaud ton projet. on bosse ensemble si tu veux?

Elboras · 18/01/2011, 00h28

Je ne connais pas tes connaissances en informatique, mais une première approche pourrait être de bien connaitre le kernel linux, la programmation de modules noyaux ...

Cependant, se lancer dans un projet, sans savoir par ou commencer, est plutôt risqué.

arimane · 18/01/2011, 19h00

Citation:

Envoyé par Elboras

Je ne connais pas tes connaissances en informatique, mais une première approche pourrait être de bien connaitre le kernel linux, la programmation de modules noyaux ...

Cependant, se lancer dans un projet, sans savoir par ou commencer, est plutôt risqué.

Peut être que c'est risqué mais déjà je sais ou je veux arriver.

Elboras · 18/01/2011, 23h33

Citation:

Envoyé par arimane

Peut être que c'est risqué mais déjà je sais ou je veux arriver.

C'est bien, je l'accorde, avoir des ambitions, c'est motivant ... quand on sait les réaliser.
Je ne connais pas votre niveau de motivations, je sais juste que sur 100 projets en informatique j'en vois 5 voir le jour ... (ok j'abuse peut-être un peu).

Dans un projet il y à deux composantes importante, l'innovation, et la faculté de l'équipe à réaliser le projet (je ne dis pas que ce sont les seuls composantes).
Ici, je ne sais pas quel sera votre innovation par rapport à un autre (marketing, sécurité, ergonomie, fonctionnalités), mais je sais que vous ne savez pas dutout par ou commencer, donc c'est pour ce que je vous disais de faire attention.

Après, je ne veux pas vous offenser, c'est un constat, peut-être que ce constat va encore plus vous donner l'envie de réussir votre projet pour qu'il soit abouti.

tigrou7 · 24/01/2011, 18h09

voila un exemple de firewall assez simple, si ca peut vous aider à comprendre le sujet :-)

Exécuter script iptables au démarrage de la machine

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
root@ubuntu:/etc/init.d# chmod +x script.sh
root@ubuntu:/etc/init.d# update-rc.d script.sh defaults
 
#Autre façon de mettre au démarrage :
#Edition de /etc/rc.local
#Mettre chemin du script avant « exit0 »
 
#Dans script.sh(/etc/init.d/) commencer par :
==> #!/bin/bash
#le '#' est compris dans la ligne !

Le fichier script.sh :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
#!/bin/sh
 
lo=127.0.0.1
intExt=eth0
intLocal=eth1
reseauLocal=x.x.x.x/24
reseauExt=x.x.x.x/24
ipExt=x.x.x.x
 
 
 
#----------------------------------------------
#Initialisation
#----------------------------------------------
 
 
for i in mangle raw filter nat
do
 
iptables -t $i -F
iptables -t $i -Z #met les counteur de packet a 0
 
done
 
for j in FORWARD OUTPUT INPUT
do
iptables -P $j DROP
iptables -A $j -m state --state ESTABLISHED,RELATED -j ACCEPT
done
 
#------------------------------
#NAT
#------------------------------
echo "1" > /proc/sys/net/ipv4/ip_forward
iptables -t nat -A POSTROUTING -o $intExt -j MASQUERADE
# ou iptables -t nat -A POSTROUTING -o $intExt -j SNAT --to-source $ipExt
 
#------------------------------
#Boucle local
#------------------------------
 
iptables -A OUTPUT -d $lo -j ACCEPT
iptables -A INPUT -s $lo -j ACCEPT
 
#------------------------------
#SSH
#------------------------------
 
iptables -A OUTPUT -o $intLocal -d $reseauLocal -m tcp -p tcp --dport 22 -j ACCEPT
 
iptables -A FORWARD -i $intLocal -s $reseauLocal -o $intExt -d $reseauExt -m tcp -p tcp --dport 22 -j ACCEPT
 
 
#------------------------------
#HTTP & HTTPS
#------------------------------
 
iptables -A OUTPUT -m tcp -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -m tcp -p tcp --dport 8080 -j ACCEPT
iptables -A OUTPUT -m tcp -p tcp --dport 443 -j ACCEPT
 
iptables -A FORWARD -i $intLocal -s $reseauLocal -o $intExt -m tcp -p tcp --dport 80 -j ACCEPT
iptables -A FORWARD -i $intLocal -s $reseauLocal -o $intExt -m tcp -p tcp --dport 8080 -j ACCEPT
iptables -A FORWARD -i $intLocal -s $reseauLocal -o $intExt -m tcp -p tcp --dport 443 -j ACCEPT
 
 
 
#------------------------------
#MSN
#------------------------------
 
iptables -A OUTPUT -m tcp -p tcp --dport 1863 -j ACCEPT
iptables -A FORWARD -i $intLocal -s $reseauLocal -o $intExt -m tcp -p tcp --dport 1863 -j ACCEPT
 
 
#------------------------------
#Mail
#------------------------------
 
iptables -A OUTPUT -m tcp -p tcp --dport 110 -j ACCEPT
iptables -A OUTPUT -m tcp -p tcp --dport 25 -j ACCEPT
iptables -A OUTPUT -m tcp -p tcp --dport 143 -j ACCEPT
 
iptables -A FORWARD -i $intLocal -s $reseauLocal -o $intExt -m tcp -p tcp --dport 25 -j ACCEPT
iptables -A FORWARD -i $intLocal -s $reseauLocal -o $intExt -m tcp -p tcp --dport 110 -j ACCEPT
iptables -A FORWARD -i $intLocal -s $reseauLocal -o $intExt -m tcp -p tcp --dport 143 -j ACCEPT
 
 
#------------------------------
#FTP
#------------------------------
/sbin/modprobe ip_conntrack_ftp
iptables -A OUTPUT -m tcp -p tcp --dport 21 -j ACCEPT
 
iptables -A FORWARD -i $intLocal -s $reseauLocal -o $intExt -m tcp -p tcp --dport 21 -j ACCEPT
 
 
#-----------------------------
#DNS
#----------------------------
 
iptables -A OUTPUT -m tcp -p tcp --dport 53 -j ACCEPT
iptables -A OUTPUT -m udp -p udp --dport 53 -j ACCEPT
 
iptables -A FORWARD -i $intLocal -s $reseauLocal -o $intExt -m tcp -p tcp --dport 53 -j ACCEPT
iptables -A FORWARD -i $intLocal -s $reseauLocal -o $intExt -m udp -p udp --dport 53 -j ACCEPT

voilà le 2ème :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
#!/bin/sh
 
lo=127.0.0.1
http='-m tcp -p tcp --dport 80'
https='-m tcp -p tcp --dport 443'
proxy='-m tcp -p tcp --dport 8080'
dns='-m udp -p udp --dport 53'
 
echo "0" > /proc/sys/net/ipv4/ip_forward #on vire l'ip forwarding pour éviter les pb de forward durant la durée de l'excecution du script -> A METTRE AVANT TOUT AJOUT OU SUPPRESSION DE REGLES
 
for i in mangle raw filter nat
do
 
iptables -t $i -F #on vide les tables
iptables -t $i -Z #met les counteur de packet a 0
 
done
 
for j in FORWARD OUTPUT INPUT
do
iptables -P $j DROP #stratégie par défaut -> drop!
iptables -A $j -m state --state ESTABLISHED,RELATED -j ACCEPT #on autorise les connexions déjà établie
done
 
iptables -t nat -A POSTROUTING -s 192.168.1.0/24 -j MASQUERADE #192.168.1.0 sera naté
iptables -t nat -A PREROUTING -m tcp -p tcp -dport 222 -j DNAT --to 192.168.1.201:22 #ssh non fonctionnel mais ya eu de l'idée (2/4)
 
iptables -A OUTPUT -d $lo -j ACCEPT #autoriser la boucle locale
iptables -A INPUT -s $lo -j ACCEPT
 
iptables -A OUTPUT -p tcp --dport 20 -j ACCEPT #autoriser la connexion a un FTP DISTANT
iptables -A OUTPUT -p tcp --dport 21 -j ACCEPT #
 
iptables -A INPUT -p tcp --dport 25 -j ACCEPT #autoriser la connexion des clients AU SERVEUR MAIL QUI EST LE FW
iptables -A INPUT -p tcp --dport 143 -j ACCEPT
iptables -A INPUT -p tcp --dport 110 -j ACCEPT
 
iptables -A OUTPUT $http -j ACCEPT #le FW doit accéder au net
iptables -A OUTPUT $https -j ACCEPT
iptables -A OUTPUT $dns -j ACCEPT
iptables -A OUTPUT $proxy -j ACCEPT
 
iptables -A FORWARD $http -j ACCEPT #le client doit accéder au net
iptables -A FORWARD $https -j ACCEPT
iptables -A FORWARD $dns -j ACCEPT
iptables -A FORWARD $proxy -j ACCEPT
 
echo "1" > /proc/sys/net/ipv4/ip_forward #on réactive l'ip forwarding

Djef-69 · 30/01/2011, 11h32

Bonjour,

ah, iptables, au début, on doute... puis on met la tête dedans, on s'arrache les cheveux... et au final on regrette qu'il n'existe que sur tux...

de la lecture on ne peut plus complète, avec script d'exemple bien construit pouvant servir de base : Didacticiel Iptables d'Oskar Andreasson, parcequ'il faut rendre à césar...

arimane · 31/01/2011, 09h01

Merci pour vos réponses, Elboras ne t'inquiète pas je ne me suis pas sentie offenser.

Elboras · 12/03/2011, 20h52

Désolé de remonter un sujet un peu ancien, mais je veux savoir si vous continuez votre projet sur la création d'un firewall logiciel ?

Pour tigrou7, ici vous montrez la configuration d'un firewall existant (iptables), mais cela ne représente pas vraiment la confection et le développement d'un firewall

05/12/2010, 20h11	#3
Benj. Rédacteur Benjamin P. Administrateur systèmes et réseaux Inscription : septembre 2009 Messages : 823 Détails du profil Informations personnelles : Nom : Benjamin P. Âge : 25 Localisation : France Informations professionnelles : Activité : Administrateur systèmes et réseaux Informations forums : Inscription : septembre 2009 Messages : 823 Points : 1 762 Points : 1 762	Créer un firewall ou mettre en place un firewall ? La différence est grande mine de rien. __________________ Bazinga !
	00

13/01/2011, 11h40	#5
mptijr Membre éprouvé Étudiant Inscription : juin 2007 Messages : 403 Détails du profil Informations personnelles : Localisation : Côte d'Ivoire Informations professionnelles : Activité : Étudiant Informations forums : Inscription : juin 2007 Messages : 403 Points : 455 Points : 455	vraiment costaud ton projet. on bosse ensemble si tu veux? __________________ Aucune question n'est bête quand on veut apprendre.
	00

05/12/2010, 20h02	#1
arimane Membre du Club Sidali Aichouni Administrateur systèmes et réseaux Inscription : octobre 2009 Messages : 54 Détails du profil Informations personnelles : Nom : Sidali Aichouni Localisation : Algérie Informations professionnelles : Activité : Administrateur systèmes et réseaux Informations forums : Inscription : octobre 2009 Messages : 54 Points : 55 Points : 55	Création d'un firewall Bonjour, Je voudrais crée un firewall pour mon projet de fin d'étude, genre ipcop,iptable mais le problème c'est que je ne sais pas trop par quoi commencé dans le sens ou es qu'il y a des livres qui peuvent aidé ? Merci de vos réponses
	00

05/12/2010, 20h03	#2
becket Membre Expert Frédéric Brugmans Informaticien multitâche Inscription : février 2005 Messages : 661 Détails du profil Informations personnelles : Nom : Frédéric Brugmans Informations professionnelles : Activité : Informaticien multitâche Informations forums : Inscription : février 2005 Messages : 661 Points : 1 196 Points : 1 196	Créer un firewall sous windows ? C'est pas le meilleur OS pour ce genre de travail
	00

05/12/2010, 20h16	#4
arimane Membre du Club Sidali Aichouni Administrateur systèmes et réseaux Inscription : octobre 2009 Messages : 54 Détails du profil Informations personnelles : Nom : Sidali Aichouni Localisation : Algérie Informations professionnelles : Activité : Administrateur systèmes et réseaux Informations forums : Inscription : octobre 2009 Messages : 54 Points : 55 Points : 55	Crée un firewall et non pas la mise en place d'un firewall, non ca sera pas sous windows mais sous linux
	00

18/01/2011, 00h28	#6
Elboras Membre confirmé Edouard Viot Ingénieur sécurité Inscription : juillet 2007 Messages : 193 Détails du profil Informations personnelles : Nom : Edouard Viot Âge : 25 Localisation : France, Paris (Île de France) Informations professionnelles : Activité : Ingénieur sécurité Secteur : High Tech - Produits et services télécom et Internet Informations forums : Inscription : juillet 2007 Messages : 193 Points : 262 Points : 262	Je ne connais pas tes connaissances en informatique, mais une première approche pourrait être de bien connaitre le kernel linux, la programmation de modules noyaux ... Cependant, se lancer dans un projet, sans savoir par ou commencer, est plutôt risqué.
	00

30/01/2011, 11h32	#10
Djef-69 Membre régulier Inscription : octobre 2007 Messages : 89 Détails du profil Informations forums : Inscription : octobre 2007 Messages : 89 Points : 80 Points : 80	Bonjour, ah, iptables, au début, on doute... puis on met la tête dedans, on s'arrache les cheveux... et au final on regrette qu'il n'existe que sur tux... de la lecture on ne peut plus complète, avec script d'exemple bien construit pouvant servir de base : Didacticiel Iptables d'Oskar Andreasson, parcequ'il faut rendre à césar...
	00

31/01/2011, 09h01	#11
arimane Membre du Club Sidali Aichouni Administrateur systèmes et réseaux Inscription : octobre 2009 Messages : 54 Détails du profil Informations personnelles : Nom : Sidali Aichouni Localisation : Algérie Informations professionnelles : Activité : Administrateur systèmes et réseaux Informations forums : Inscription : octobre 2009 Messages : 54 Points : 55 Points : 55	Merci pour vos réponses, Elboras ne t'inquiète pas je ne me suis pas sentie offenser.
	00

12/03/2011, 20h52	#12
Elboras Membre confirmé Edouard Viot Ingénieur sécurité Inscription : juillet 2007 Messages : 193 Détails du profil Informations personnelles : Nom : Edouard Viot Âge : 25 Localisation : France, Paris (Île de France) Informations professionnelles : Activité : Ingénieur sécurité Secteur : High Tech - Produits et services télécom et Internet Informations forums : Inscription : juillet 2007 Messages : 193 Points : 262 Points : 262	Désolé de remonter un sujet un peu ancien, mais je veux savoir si vous continuez votre projet sur la création d'un firewall logiciel ? Pour tigrou7, ici vous montrez la configuration d'un firewall existant (iptables), mais cela ne représente pas vraiment la confection et le développement d'un firewall
	10

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email