Mettre en place une passerelle sous linux [Article] [Résolu]

[gorgonite]

Salut,


Je viens de préparer le plan, et quelques config pour rédiger un article, qui permettrait à un débutant "éclairé" de se monter une passerelle sécurisée pour le partage de sa connexion internet...


pour l'améliorer, je souhaiterais savoir si quelqu'un veut m'aider, ou si vous pouviez me détailler ce qui serait pour vous une "passerelle idéale"





lien http://gorgonite.developpez.com/tuto...ux/passerelle/

[granquet]

une passerelle ideale?

c'est une passerelle qui repond a mes besoins:
... ça drop tout ce que ça trouve ... et puis ça fait quelques exceptions
(par exemple lo : oui parce que sinon bonjour pour aller la depanner ^^)
ça masquerade pas plus que le necessaire ... ça nat tous les ports qui doivent l'etre ...

breffe, j'ai pas compris la question


mes regles iptable (si ça peux aider):

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
# Generated by iptables-save v1.2.10 on Sat Mar 18 18:59:55 2006
*mangle
:PREROUTING ACCEPT [47056573:36422305445]
:INPUT ACCEPT [989013:124329978]
:FORWARD ACCEPT [46066995:36297783527]
:OUTPUT ACCEPT [313855:46473762]
:POSTROUTING ACCEPT [46388138:36346060993]
COMMIT
# Completed on Sat Mar 18 18:59:55 2006
# Generated by iptables-save v1.2.10 on Sat Mar 18 18:59:55 2006
*nat
:PREROUTING ACCEPT [1005492:59370389]
:POSTROUTING ACCEPT [56405:4804836]
:OUTPUT ACCEPT [55542:4761547]
-A PREROUTING -p udp -m udp --dport 60000:65535 -j DNAT --to-destination 190.95.0.5 
-A PREROUTING -p tcp -m tcp --dport 5001 -j DNAT --to-destination 190.95.0.5:5001 
-A POSTROUTING -s 190.95.0.0/255.255.255.0 -o eth1 -j MASQUERADE 
COMMIT
# Completed on Sat Mar 18 18:59:55 2006
# Generated by iptables-save v1.2.10 on Sat Mar 18 18:59:55 2006
*filter
:INPUT DROP [631006:37418488]
:FORWARD ACCEPT [46066995:36297783527]
:OUTPUT DROP [12817:2452518]
:SuiviConnexions - [0:0]
-A INPUT -i lo -j ACCEPT 
-A INPUT -i eth0 -j ACCEPT 
-A INPUT -p udp -m udp --dport 53 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 50100 -j ACCEPT 
-A INPUT -p tcp -m tcp --dport 80 -j ACCEPT 
-A INPUT -j SuiviConnexions 
-A OUTPUT -o lo -j ACCEPT 
-A OUTPUT -o eth0 -j ACCEPT 
-A OUTPUT -p udp -m udp --dport 53 -j ACCEPT 
-A OUTPUT -p tcp -m tcp --dport 50100 -j ACCEPT 
-A OUTPUT -p tcp -m tcp --dport 80 -j ACCEPT 
-A SuiviConnexions -m state --state RELATED,ESTABLISHED -j ACCEPT 
COMMIT
# Completed on Sat Mar 18 18:59:55 2006

faut que je les revois ...
passer le FORWARD en DROP notement.

[gorgonite]

pour ces précieuses données...

perso, j'aurais plutôt vu dans un premier temps uniquement comment tout bloquer, sauf le proxy http, puis seulement comment jouer avec les autres protocoles.
Mais autant tout faire d'un seul coup

[Freed0]

Quel OS ?

[Spoutnik]

Citation:

Envoyé par gorgonite

Salut,


Je viens de préparer le plan, et quelques config pour rédiger un article, qui permettrait à un débutant "éclairé" de se monter une passerelle sécurisée pour le partage de sa connexion internet...


pour l'améliorer, je souhaiterais savoir si quelqu'un veut m'aider, ou si vous pouviez me détailler ce qui serait pour vous une "passerelle idéale"

Si tu veux un coup de main, ca peut se faire
sinon, l'article que je considère comme la "bible du débutant" : http://olivieraj.free.fr/fr/linux/information/firewall/

[gorgonite]

Citation:

Envoyé par Freed0

Quel OS ?

a priori, on resterait sur un linux installé de façon minimaliste... pour que tout le monde puisse le faire

après, il est évident que tout peut être appliqué aux systèmes BSD... les serveurs utilisés existent aussi, à part iptables

[gorgonite]

Citation:

Envoyé par Spoutnik

Si tu veux un coup de main, ca peut se faire

merci pour la proposition...

Citation:

Envoyé par Spoutnik

sinon, l'article que je considère comme la "bible du débutant" : http://olivieraj.free.fr/fr/linux/information/firewall/

connaissait pas... du coup, je ne vois plus l'intérêt de faire un article

perso, je pensais à quelque chose dans ce genre... exemple d'installation sur debian sarge

Citation:

#####################################
apt-get install squid

#####################################
/etc/squid/squid.conf

http_port 127.0.0.1:3128
visible_hostname gw.domain.com
acl LocalNet src zone_ip_interne/255.255.255.0
http_access allow LocalNet

# Taille maximum de mémoire vive utilisée pour stocker du cache
cache_mem 16 MB
# Taille maximum des objets stockés dans le cache
maximum_object_size 8 MB

# Paramétrage d'un cache sur un disque
# - Type de stockage
# - Emplacement du cache
# - Taille totale du cache en MB
# - Nombre de répertoires de niveau 1 et de niveau 2
cache_dir ufs /var/spool/squid 200 16 256

####################################
proxy transparent

iptables -t nat -A PREROUTING -s zone_ip_interne/255.255.255.0 -p tcp -m tcp --dport 80 -j REDIRECT --to-port 8080
iptables -t nat -A PREROUTING -s zone_ip_interne/255.255.255.0 -p tcp -m tcp --dport 80 -j DNAT --to-destination IP_interne:8080

####################################
dansguardian

apt-get install dansguardian
####################################
/etc/dansguardian/dansguardian.conf

# UNCONFIGURED
#language = 'ukenglish'
language = 'french'
filterip = IP_interne
filterport = 8080
proxyip = 127.0.0.1
proxyport = 3128

####################################
/etc/dansguardianf1.conf

# autorise un contenu jusqu'à une certaine limite
# on peut abbaisser le seuil
# - 50 pour jeunes enfants
# - 100 pour adolescents
# - 160 pour jeunes adultes
naughtynesslimit = 160

####################################
interdire ping depuis l'exterieur

créer un fichier /etc/init.d/no_ping_from_eth0
#! /bin/sh
echo "Setting 'No Ping From Red Zone'"
iptables -i eth0 -A INPUT -p icmp -j DROP

le placer au niveau 2 du démarrage
update-rc.d no_ping_from_eth0 start 99 2 .

###################################
fermer certains ports... pour les services inutilisés

-- portmap (port 111)
update-rc.d -f portmap remove

-- inetd (port 113)
update-rc.d -f inetd remove

-- nfs-common (statd port 742)
update-rc.d -f nfs-common remove


pour vérifier les ports restant, tapez la commande
nmap -sS -P0 -p 0-10000 adresse_ip

à faire sur l'ip d'eth1 et eth0
a priori, vous devriez avoir pour :
- eth0 : ssh (22)
- eth1 : ssh (22) et http-proxy (8080)

###################################
on peut aussi fermer le ssh sur la zone rouge (eth0), mais cela dépend de votre utilisation...

si vous n'avez pas besoin de cet accès extérieur
ajouter cette ligne dans /etc/ssh/sshd_config
ListenAddress IP_interne

si non, vous pouvez par exemple disposer d'un nom de domaine... ce qui évite d'avoir à apprendre son IP publique par coeur, ou permet de faciliter l'usage des IP dynamiques. Prenez un compte gratuit sur DynDNS par exemple.

installer un client dyndns
apt-get install ipcheck

créer un script /usr/local/sbin/update_ip_dyndns.sh
#! /bin/sh
/usr/sbin/ipcheck -l -r checkip.dyndns.org:8245 login password hostname

ajouter à votre crontab
*/10 * * * * /usr/local/sbin/update_ip_dyndns.sh

###########################
besoin d'ouvrir des ports pour des services ne passant pas par une passerelle http

quelques notions d'iptables...

[Spoutnik]

Citation:

Envoyé par gorgonite

merci pour la proposition...

Je t'en prie !

Citation:

connaissait pas... du coup, je ne vois plus l'intérêt de faire un article

Regarde la date de MAJ : 23 juillet 2003. (noyau 2.4)
Il y a pas mal de choses très utiles à rajouter je trouve.
Pour ne citer que qq exemples, le marquage pour éviter les attaques de kiddies sur le ssh (drop si > 3 essais/h par exemple) / listes blanches, suivit SIP/RTP ... bref, toutes ces petites choses que l'adsl et l'IP fixe nous ont amené

Ensuite, tu parles de passerelle sécurisée. Ca englobe pas mal de chose je trouve :
iptables, NAT, proxy http, controle de contenu, passerelle mail? ....

Après on peut aller voir du coté de la limitation de débit, vérouiller certains protocoles (ex p2p) .... bref aller au fin fond de iptables

Sur Iptables, je pense pouvoir te filer un coup de main, sur le reste, ... moyen (ca peut s'arranger ).

[ovh]

Spoutnik ce que tu énonces comme domaines à traiter en plus des idées de gorgonite me paraît très intéressant, si on parvient à publier un article comme ça, ce serait vraiment un très gros plus pour la rubrique

[Spoutnik]

Ca dépend de ce que veut faire gorgonite.

[Spoutnik]

Citation:

Envoyé par gorgonite

ben je peux commencer par la passerelle "sécurisée", en disant ce qu'on fait à chaque iptables sans détailler, en précisant les points utiles dans la sécurisation de certains services (je pensais juste ajouter ce qui était à modifier, mais ça peut être intéressant de mettre le reste si quelqu'un utilise une distrib plus permissive)

cad? la configuration de ssh, de samba, etc? je pige pas. On en discute en mp/msn?
[EDIT] c'est quoi une distrib plus permissive?[/EDIT]

[gorgonite]

Citation:

Envoyé par Spoutnik

cad? la configuration de ssh, de samba, etc? je pige pas.

oui et non...
je parle des services par défaut utiles à une passerelle, donc oui pour ssh et non pou samba

Citation:

Envoyé par Spoutnik

c'est quoi une distrib plus permissive?

je parle des distributions dont la config minimale "par défaut" démarre plus de services, ouvre plus de ports, sécurise moins certains services

nb: par exemple, openbsd accepte de login root par ssh par défaut... et pas netbsd
mais en "plus permessif", je pense aux distrib mandriva, redhat (ou centos ), suse (ou opensuse ) et fedora... qui ont même un SELinux

Citation:

Envoyé par Spoutnik

On en discute en mp/msn?

a priori, msn est banni de mon réseau

en revanche, un peu d'irc, de jabber (gtalk ?), de skype ou des MP feront l'affaire...

@+

[Spoutnik]

Citation:

Envoyé par gorgonite

oui et non...
je parle des services par défaut utiles à une passerelle, donc oui pour ssh et non pou samba

ok. A mon avis. faudrait séparer les différentes parties en articles distincts dans ce cas.

Citation:

Envoyé par gorgonite

je parle des distributions dont la config minimale "par défaut" démarre plus de services, ouvre plus de ports, sécurise moins certains services

nb: par exemple, openbsd accepte de login root par ssh par défaut... et pas netbsd
mais en "plus permessif", je pense aux distrib mandriva, redhat (ou centos ), suse (ou opensuse ) et fedora... qui ont même un SELinux

ok, je te laisse ca avec plaisir alors

++

[novices]

Salut,

Ne pas oublier de rajouter un peu de QoS dans tout ça, sinon le réseau à une facheuse tendance à se casser la gueule pour rien (un simple tééchargement de fichier peut ralentir de manière désespérante une connexion :/)

Ça s e fait de manière toute simple avec -t mangle, et ensuite il y a moyen de complexifier à loisirs.

On m'avait conseillé de voir par ici pour la méthode compliqué, conseillé par un admin réseau qui à mon sens sait ce qu'il fait ^^

Mais bon, perso j'ai pas complexifié pour les 2 ou 3 pc qui tournent chez moi

a+

[gorgonite]

merci pour ton idée de QoS, ça peut servir...
perso, sans y toucher, j'arrive à faire tourner une dizaine de machines derrière la passerelle sans difficultés... bien que ne soit pas une bête de course


sinon, j'avais plutôt ce lien... en français
http://lea-linux.org/cached/index/Le...eseau-qos.html

[gorgonite]

au fait, quelqu'un connaitrait-il adzapper ?

[gorgonite]

une première version rédigée... http://gorgonite.developpez.com/tuto...ux/passerelle/

[novices]

Pour la QoS, comme pour les règles liées au filtrage, je suis aussi passé par léa-linux, le lien que tu nous as fournit, c'est extrèmement simple à mettre en place, l'autre lien je le tiens d'un admin qui avait réalisé un filtrage plutôt costaud à son taf, il s'était servit du lien en question (celui-ci) qui disposait d'une version française, mais actuellement les liens FR semblent morts :/

Enfin, c'est pas pour la même utilisation ces deux liens

++)

PS: je connaissais pas adzapper, je m'y pencherai sûrement un jour du coup
dans la série des addons pour squid, j'avais utilisé squidguard, qui est très bien pour filtrer les sites permis.

[gorgonite]

Citation:

Envoyé par novices

dans la série des addons pour squid, j'avais utilisé squidguard, qui est très bien pour filtrer les sites permis.

j'ai préféré mettre dansguardian, qui inclut désormais un antivirus, et surtout qui possède bien plus de critères pour filtrer les contenus interdits...
mais il faut avouer qu'il est plus gourmand... on a rien sans rien

[novices]

Oui ^^

J'utilisais ça chez un client, sur une passerelle avec PII 233, et 3 fois rien comme ram, squidguard était déjà gourmand

Mais j'avais entendu beaucoup de bien sur dansguardian effectivement à ce moment là

a+