Config parefeu / MDV 2007

MatRem · 16/11/2006, 17h34

Bonjour,

J'aimerais configurer mon parefeu pour qu'il ouvre le port 80 (http), mais seulement pour une machine distante spécifique.

J'utilise mandriva 2007, et son outils graphique de configuration, cependant je ne sais pas réellement quel est le parefeu utilisé? (shorewall, iptable, ...)?

merci.

chaval · 16/11/2006, 18h47

Bonjour

De mémoire, l'outil graphique de mandriva crée des scripts iptables

De toute facon, shorewall est un outil qui te permets de générer des scripts iptables lui aussi

MatRem · 16/11/2006, 21h49

En fait si je modifie la configuration d'iptables (ou sont ces fichiers d'ailleurs), ou de shorwall (/etc/shorewall), mon parefeu mandriva va être mis à jour?

En fait que dois-je modifier pour prendre en compte la règle que j'enonçais au début?

Avec l'utilitaire graphique de mandriva, il est trés facile d'ouvrir un port pour un certain protocole, mais je ne sais pas spécifier une machine, d'ailleurs je n'ai pas l'impression que ce soit possible de le faire avec cet utilitaire....

Katyucha · 17/11/2006, 08h15

Citation:

Envoyé par MatRem

En fait si je modifie la configuration d'iptables (ou sont ces fichiers d'ailleurs), ou de shorwall (/etc/shorewall), mon parefeu mandriva va être mis à jour?

Au lieu de demander, tu prends 5 minutes et tu testes

Citation:

En fait que dois-je modifier pour prendre en compte la règle que j'enonçais au début?

Avec l'utilitaire graphique de mandriva, il est trés facile d'ouvrir un port pour un certain protocole, mais je ne sais pas spécifier une machine, d'ailleurs je n'ai pas l'impression que ce soit possible de le faire avec cet utilitaire....

Je pense qu'il doit etre simplifier pour éviter qu'un débutant fasse tout et rien. Si ce n'est pas possible par cette utilitaire, préfère shorewall alors

MatRem · 17/11/2006, 09h53

Étant donné que je ne connais pas le fonctionnement de shorewall, je ne vais pas mettre seulement 5 min à tester son fonctionnement. En plus je risque bien de mettre en l'air mon parefeu pendant mes tests.

(et peut être aprés aussi d'ailleurs).
C'est pour ça que je demande...

Enfin bon je vais chercher de la documentation sur shorewall, en espérant que c'est bien ce qui est utilisé sur mon système.

MatRem · 17/11/2006, 13h14

Aprés avoir passé une petite matinée à lire la doc d'iptables (un peu trop compliqué

) puis celle de shorewall (ha c'est plus facile

), j'ai réussi à établir la règle que je citait au début de la discussion.

J'ai donc pu m'apercevoir que shorewall était bien activé sur mon pc, et j'ai donc compris que forcément il y a iptables derrière.
J'ai aussi pu voir que l'outil de mandriva modifie /etc/shorewall/rule.drakx, il utilise donc shorewall.

Je suis content j'ai bien tout compris... enfin presque.

Prenons un exemple ou la machine à autoriser est située derrière un routeur:

Pour l'instant j'utilise une règle du type:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

ACCEPT   net:<nom_dns_du_routeur>   fw   <protocole>   <port>

Mais avec ça j'autorise toutes les machines qui se trouvent derrière le routeur à utiliser le port/protocole.
Je me demande donc s'il est possible de n'autoriser qu'une machine spécifique qui se trouve derrière le routeur.

troumad · 19/11/2006, 23h21

Tu peux configurer hosts.deny et hosts.allow (non testés) :

Citation:

Envoyé par hosts.deny

httpd:all

Citation:

Envoyé par hosts.allow

httpd:Machine_acceptée (nom ou Ip)

Tu peux aussi utiliser Iptables

Il y a un exemple intéressant dans mon cours http://troumad.info/Linux/Linux.odt : il ne te restera qu'à l'adapter !
Par exemple avec la ligne (non testé) :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$ipt -A INPUT -s Machine_acceptée -p tcp --dport 80 -j ACCEPT

L'intérêt d'un script Iptables, c'est que tu pourras le mettre sur une autre distrib sans problèmes. Peut-être même sur du BSD (mais là je ne connais pas du tout). C'est donc un bon investissement

Si tu essaies, donne moi les résultats de ton test !

Citation:

Envoyé par chaval

De mémoire, l'outil graphique de mandriva crée des scripts iptables

Oui. Quand je l'avais essayé, il modifiait les script shorewall qui eux ensuite créent des règles Iptables ! Ça fait plusieurs années que je ne l'utilise plus !
Le fire wall mis par défaut sur une mdv est trés restrictif pour la 2007 et la 2006

chaval · 20/11/2006, 06h59

Citation:

Envoyé par troumad

L'intérêt d'un script Iptables, c'est que tu pourras le mettre sur une autre distrib sans problèmes. Peut-être même sur du BSD (mais là je ne connais pas du tout). C'est donc un bon investissement

Non, iptables n'existe pas sous BSD. C'est "pf" qui fait ce travail
Il paraiterait que sa syntaxe est beaucoup plus sympathique, mais j'ai jamais vraiment vu

troumad · 20/11/2006, 07h40

Citation:

Envoyé par chaval

Non, iptables n'existe pas sous BSD. C'est "pf" qui fait ce travail

[troll]Une raison de plus pour moi de resté sous Linux[/troll]

gorgonite · 20/11/2006, 09h02

BSD-power

d'ailleurs pf est super

16/11/2006, 17h34	#1
MatRem Membre expérimenté Inscription : décembre 2002 Messages : 741 Détails du profil Informations forums : Inscription : décembre 2002 Messages : 741 Points : 591 Points : 591	Config parefeu / MDV 2007 Bonjour, J'aimerais configurer mon parefeu pour qu'il ouvre le port 80 (http), mais seulement pour une machine distante spécifique. J'utilise mandriva 2007, et son outils graphique de configuration, cependant je ne sais pas réellement quel est le parefeu utilisé? (shorewall, iptable, ...)? merci. __________________ GPU oriented programming
	00

16/11/2006, 18h47	#2
chaval Membre Expert Inscription : mars 2004 Messages : 1 051 Détails du profil Informations personnelles : Sexe : Localisation : France Informations forums : Inscription : mars 2004 Messages : 1 051 Points : 1 031 Points : 1 031	Bonjour De mémoire, l'outil graphique de mandriva crée des scripts iptables De toute facon, shorewall est un outil qui te permets de générer des scripts iptables lui aussi __________________ Chaval __________________ "Monsieur le chat voudriez-vous, s'il vous plait, demanda Alice, me dire de quel côté dois-je aller ? Ca dépend de l'endroit où vous voulez vous rendre, répondit le chat" Lewis Carrol
	00

16/11/2006, 21h49	#3
MatRem Membre expérimenté Inscription : décembre 2002 Messages : 741 Détails du profil Informations forums : Inscription : décembre 2002 Messages : 741 Points : 591 Points : 591	En fait si je modifie la configuration d'iptables (ou sont ces fichiers d'ailleurs), ou de shorwall (/etc/shorewall), mon parefeu mandriva va être mis à jour? En fait que dois-je modifier pour prendre en compte la règle que j'enonçais au début? Avec l'utilitaire graphique de mandriva, il est trés facile d'ouvrir un port pour un certain protocole, mais je ne sais pas spécifier une machine, d'ailleurs je n'ai pas l'impression que ce soit possible de le faire avec cet utilitaire.... __________________ GPU oriented programming
	00

17/11/2006, 09h53	#5
MatRem Membre expérimenté Inscription : décembre 2002 Messages : 741 Détails du profil Informations forums : Inscription : décembre 2002 Messages : 741 Points : 591 Points : 591	Étant donné que je ne connais pas le fonctionnement de shorewall, je ne vais pas mettre seulement 5 min à tester son fonctionnement. En plus je risque bien de mettre en l'air mon parefeu pendant mes tests. (et peut être aprés aussi d'ailleurs). C'est pour ça que je demande... Enfin bon je vais chercher de la documentation sur shorewall, en espérant que c'est bien ce qui est utilisé sur mon système. __________________ GPU oriented programming
	00

17/11/2006, 13h14	#6
MatRem Membre expérimenté Inscription : décembre 2002 Messages : 741 Détails du profil Informations forums : Inscription : décembre 2002 Messages : 741 Points : 591 Points : 591	Aprés avoir passé une petite matinée à lire la doc d'iptables (un peu trop compliqué ) puis celle de shorewall (ha c'est plus facile ), j'ai réussi à établir la règle que je citait au début de la discussion. J'ai donc pu m'apercevoir que shorewall était bien activé sur mon pc, et j'ai donc compris que forcément il y a iptables derrière. J'ai aussi pu voir que l'outil de mandriva modifie /etc/shorewall/rule.drakx, il utilise donc shorewall. Je suis content j'ai bien tout compris... enfin presque. Prenons un exemple ou la machine à autoriser est située derrière un routeur: Pour l'instant j'utilise une règle du type: Code : Sélectionner tout - Visualiser dans une fenêtre à part ACCEPT net:<nom_dns_du_routeur> fw <protocole> <port> Mais avec ça j'autorise toutes les machines qui se trouvent derrière le routeur à utiliser le port/protocole. Je me demande donc s'il est possible de n'autoriser qu'une machine spécifique qui se trouve derrière le routeur. __________________ GPU oriented programming
	00

20/11/2006, 09h02	#10
gorgonite Rédacteur/Modérateur Nicolas Vallée Ingénieur Système Inscription : décembre 2005 Messages : 9 774 Détails du profil Informations personnelles : Nom : Nicolas Vallée Âge : 27 Localisation : France Informations professionnelles : Activité : Ingénieur Système Secteur : Transports Informations forums : Inscription : décembre 2005 Messages : 9 774 Points : 14 303 Points : 14 303	BSD-power d'ailleurs pf est super __________________ Evitez les MP pour les questions techniques... il y a des forums Contributions sur DVP : Mes Tutos \| Mon Blog
	00

Outils de la discussion
Afficher une version imprimable Envoyer un lien vers cette page par email