Configurer le firewall de Mandriva [Résolu]

[iDaaX]

Salut à tous,

J'aimerais savoir s'il existe un tuto ou si vous pouvez m'aider à configurer le firewall de Mandriva assez simplement.

Si ça peut vous aider, j'utilise bien sûr Internet pour surfer, accéder à mes courriels, je fais du ktorrent et du aMule aussi. Je ne veux pas bloquer mon accès via Samba à mon autre PC Windows du réseau.

Lorsque je passe par la configuration dans le centre de contrôle, dois-je cocher les options suivantes ?

Quels services Internet peut accéder :

- web server ? => J'imagine que je dois cocher pour accéder à Internet
- DNS server ?
- ssh server ?
- ftp server ?
- mai server ? => J'imagine qu'ici je dois le cocher si jeveux accéder à mes courriels
- pop et imap server ?
- requête echo (ping) ?

Merci.

iDaaX

[troumad]

Je te conseille iptables directement...
Regarde la partie iptables sur mon cours : http://troumad.org/Linux/Linux.odt
Pose des questions. Ça te permettra de mieux comprendre et d'améliorer mon document !

[iDaaX]

Encore merci troumad !

C'est étonnant, tu es une vraie mine d'information....

Je lis ce document et te poserai des questions.

iDaaX

[iDaaX]

Salut troumad,

J'ai bien lu ton document et je te remercie de partager ces informations. À présent, je vais mettre en place mon firewall, mais, tu t'en doutais sûrement, j'ai des questions. Je vais commencer par t'exposer ma configuration actuelle. J'ai 2 PC, un exclusivement sur WinXP et l'autre qui roule sur Mandriva. Les 2 ont des cartes ethernet connectés à un routeur, qui lui, est relié au modem câble. Si je comprends bien, cette configuration constitue un LAN, n'est-ce pas ?

Je commence avec la configuration de Shorewall.

- fichier zones :
#ZONE DISPLAY
loc LAN
net Internet

Ici, chez Shorewall, il mette fw plutôt que loc, j'imagine que ça ne change rien.

- fichier interfaces :
Ici, je ne suis pas sûr. Lorsque je passe par KInfoCentre, sur la carte ethernet, j'obtiens les info suivantes : eth0 et lo (loopback). Je n'ai pas de ppp0. Donc, je me demande dans ce dernier cas si c'est parce que je n'en ai pas besoin ou parce qu'on me donne pas l'info ?

Tentativement, mon fichier serait :

#ZONE INTERFACE BROADCATS OPTIONS
loc eth0 detect
net ???? ???? ????

- fichier masq :
Ici, je ne sais pas du tout si dois y mettre quelque chose et si seulement j'ai besoin de faire de l'IP masquerading ? Je ne crois pas, mais je n'en suis pas sûr.

- fichier policy :
Ici, chez Shorewall on le présente ainsi :

#SOURCE ZONE DESTINATION ZONE POLICY LOG LEVEL
fw net ACCEPT
net all DROP info
all all Reject info

Alors que toi tu le présentes :

#SOURCE ZONE DESTINATION ZONE POLICY LOG LEVEL
loc net ACCEPT
net fw ACCEPT
fw net ACCPET
net all DROP info
all all DROP info

Arrive-t-on au même résultat ?

- fichier rules :
Enfin, pour ce fichier, si j'utilise les mêmes règles que tu énonces dans ton document, en plus d'utiliser Internet normalement ainsi qu'avoir accès à mes courriels, pourrai-je effectuer les choses suivants ?

- accéder via Samba aux données Windows de mon autre PC (tel que je le fais actuellement)
- utiliser Ktorrent (tel que je le fais actuellement)
- streamer la radio Internet avec Amarok
Merci encore de ton aide.

iDaaX

[troumad]

Salut

Pour l'information sur ton réseau, donne plutôt le résulte de

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

/sbin/ifconfig

J'ai l'impression que tu veux mettre un firewall sur ton réseau domestique ! Tu n'as pas déjà un bon firewall sur ta passerelle ?

Les infos, tu veux qu'elles circulent dans quel sens ? Surtout pour samba
Tu veux bloquer des services à partir de ton PC où tu veux pouvoir accéder à tout ? Si oui, lesquels ?
Je pense que bloquer des appels de l'extérieur vers ton PC, c'est suffisant ! Non ?

[iDaaX]

Salut troumad,

Je ne suis pas très sûr de bien comprendre ce que tu me dis, je ne suis pas un expert en réseau non plus. En fait, je ne veux que protéger mon PC où roule Mandriva. Mon PC WinXP est déjà pourvu d'un firewall.

Qu'est-ce que la passerelle dans mon système ?

En ce qui a trait à Samba, en général je vais chercher les données sur mon PC WinXP avec mon PC Mandriva.

En terme de service, je ne veux pas trop en bloquer puisque je projète éventuellement installer un serveur LAMP pour faire du développement.

En gros, je veux protéger mon ordinateur des attaques extérieures, donc tu as peut-être raison.

Dans ce cas, je configure comment ?

Je ne suis pas chez moi en ce moment, mais je t'envoie le résultat de la commande indiquée.

iDaaX

[iDaaX]

Salut troumad,

Voilà le résultat de la commande :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
eth0      Link encap:Ethernet  HWaddr 00:1A:92:53:5B:8A
          inet addr:192.168.0.153  Bcast:192.168.0.255  Mask:255.255.255.0
          inet6 addr: fe80::21a:92ff:fe53:5b8a/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:6282 errors:0 dropped:0 overruns:0 frame:0
          TX packets:5950 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:3839550 (3.6 MiB)  TX bytes:527686 (515.3 KiB)
          Interrupt:17
 
eth1      Link encap:Ethernet  HWaddr 00:1A:92:53:50:30
          UP BROADCAST MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:0 (0.0 b)  TX bytes:0 (0.0 b)
          Interrupt:16
 
lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:6 errors:0 dropped:0 overruns:0 frame:0
          TX packets:6 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:588 (588.0 b)  TX bytes:588 (588.0 b)

Ouf! Je n'y comprends rien de tout ce charabia...

[troumad]

Bonjour

J'ai l'impression que ton PC a deux interfaces réseaux. La première eth0 qui marche, la seconde qui est inactive. La seconde peut être du WIFI comme un port firewire je crois.
Il faudra donc protéger en entrée.
=>Donc pour toi NET="eth0", et LOCAL ne sert à rien chez toi car ton PC n'est pas une passerelle => toutes les lignes qui s'y réfèrent sont à commenter (mettre un # devant).

Tu ne comptes pas mettre des serveurs sur ton PC ? Un serveur WEB pour faire des tests, un serveur ssh pour pouvoir intervenir en ligne de commande à partir du PC windows ? Ou je ne sais quoi ?

Si tu ne comptes rien mettre, à partir de la ligne $ipt -A INPUT -p tcp --dport 22 -j ACCEPT, tu peux commenter toutes les lignes sauf la ligne $ipt -A INPUT -p tcp -m multiport --dport 6969,6881:6889 -j ACCEPT qui se réfère à bittorrent.
Les lignes suivantes sont faites pour une passerelle. C'est à dire un PC (ou un modem routeur : le tien par exemple) qui fait interface entre un réseau local et internet. Pour faire du torrent, tu as du configurer ton routeur non ? Si ce n'est pas le cas, c'est que ça doit être une passoire ! Je te conseille aussi de regarder côté routeur ce que tu peux faire.

[iDaaX]

Salut troumad,

Effectivement, mon PC a 2 cartes ethernet intégrées (je ne m'en sert que d'une évidemment) et une carte wifi (que je n'utilise pas en ce moment).

J'ai l'intention de faire du développement web en php éventuellement, donc un jour j'aurai à monter un serveur web. Que devrais-je faire alors ?

Enfin, non je n'ai jamais configurer mon routeur, je t'avoue que je ne sais trop comment m'y prendre. Tu connais des tutos intéressants à ce sujet ?

Merci encore de ta rapidité à m'aider.

iDaaX

[deny]

salut
tu devrais commencer a te préoccuper de ton routeur , car si tu as l'user
et le mot de passe attribué par défaut , deja c'est un probleme de sécurité

donc l'interface de ton routeur doit se trouver à l'adresse
127.0.0.1 ou bien 192.168.0.1
essaie deja de t"y connecter , de changer le mot de passe par défaut
et d'explorer les possibilités ; les ports à ouvrir sur ton reseau
(par exemple pour ton serveur web , cela sera le 80)
le firewall que tu configures chez mandriva ne servira pas à grand chose
sans configurer d'abord ton routeur)



a+

[troumad]

Citation:

Envoyé par iDaaX

J'ai l'intention de faire du développement web en php éventuellement, donc un jour j'aurai à monter un serveur web. Que devrais-je faire alors ?

Regarder dans les commentaires que j'ai mis sur le fichier : ouvrir le port 80

Citation:

Envoyé par deny

salut
tu devrais commencer a te préoccuper de ton routeur , car si tu as l'user
et le mot de passe attribué par défaut , deja c'est un probleme de sécurité

donc l'interface de ton routeur doit se trouver à l'adresse
127.0.0.1 ou bien 192.168.0.1
essaie deja de t"y connecter , de changer le mot de passe par défaut
et d'explorer les possibilités ; les ports à ouvrir sur ton reseau
(par exemple pour ton serveur web , cela sera le 80)
le firewall que tu configures chez mandriva ne servira pas à grand chose
sans configurer d'abord ton routeur)



a+

Tout à fait exact ! Sauf que 127.0.0.1 sera l'adresse de ton PC pas celle du serveur
Pour configurer ton routeur, tu as besoin de la doc de ton routeur... Regarde son nom, sa marque...

[deny]

Citation:

Envoyé par troumad

Tout à fait exact ! Sauf que 127.0.0.1 sera l'adresse de ton PC pas celle du serveur
Pour configurer ton routeur, tu as besoin de la doc de ton routeur... Regarde son nom, sa marque...

pas forcement , tout dépend, comme tu le dis , de la config de son routeur
chez moi, tout se configure via 192.168.0.1 qui est aussi l'adresse en local de
mon serveur apache

a+

[troumad]

Citation:

Envoyé par deny

pas forcement , tout dépend, comme tu le dis , de la config de son routeur
chez moi, tout se configure via 192.168.0.1 qui est aussi l'adresse en local de
mon serveur apache +

192.168.0.1 ne peut être les deux à priori...
J'aimerai avoir confirmation de ce que tu dis !

[deny]

Citation:

Envoyé par troumad

192.168.0.1 ne peut être les deux à priori...
J'aimerai avoir confirmation de ce que tu dis !

apres verification , 192.168.0.1 est l'interface prise par le routeur
et 127.0.0.1 est l'adresse en local d'apache ; alors qu'auparavant ce
dernier etait sur 192.168.0.1

[iDaaX]

Salut deny et troumad,

Effectivement, j'accède à mon routeur via l'ip 192.68.0.1. Je vais regarder ça ce soir. Je me rapelle avoir essayé de changer le mot de passe et ça n'avait pas fonctionné mais je n'ai pas regardé plus à fond.

Je m'occupe de ça et je vous tiens au courant.

iDaaX

[iDaaX]

Désolé à ceux qui m'ont aidé à régler ce problème,

J'ai dû m'absenter pour un temps et n'ai pu faire le suivi de ce fil.

Donc, mon firewall est configuré au niveau de mon routeur et de Mandriva (via les iptables).

Tout va bien pour le moment.

Merci à tous.