Discussion :

[MatRem]

Bonjour,

J'aimerais configurer mon parefeu pour qu'il ouvre le port 80 (http), mais seulement pour une machine distante spécifique.

J'utilise mandriva 2007, et son outils graphique de configuration, cependant je ne sais pas réellement quel est le parefeu utilisé? (shorewall, iptable, ...)?


merci.

[chaval]

Bonjour

De mémoire, l'outil graphique de mandriva crée des scripts iptables

De toute facon, shorewall est un outil qui te permets de générer des scripts iptables lui aussi

[MatRem]

En fait si je modifie la configuration d'iptables (ou sont ces fichiers d'ailleurs), ou de shorwall (/etc/shorewall), mon parefeu mandriva va être mis à jour?

En fait que dois-je modifier pour prendre en compte la règle que j'enonçais au début?

Avec l'utilitaire graphique de mandriva, il est trés facile d'ouvrir un port pour un certain protocole, mais je ne sais pas spécifier une machine, d'ailleurs je n'ai pas l'impression que ce soit possible de le faire avec cet utilitaire....

[Katyucha]

En fait si je modifie la configuration d'iptables (ou sont ces fichiers d'ailleurs), ou de shorwall (/etc/shorewall), mon parefeu mandriva va être mis à jour?

Au lieu de demander, tu prends 5 minutes et tu testes

En fait que dois-je modifier pour prendre en compte la règle que j'enonçais au début?

Avec l'utilitaire graphique de mandriva, il est trés facile d'ouvrir un port pour un certain protocole, mais je ne sais pas spécifier une machine, d'ailleurs je n'ai pas l'impression que ce soit possible de le faire avec cet utilitaire....

Je pense qu'il doit etre simplifier pour éviter qu'un débutant fasse tout et rien. Si ce n'est pas possible par cette utilitaire, préfère shorewall alors

[MatRem]

Étant donné que je ne connais pas le fonctionnement de shorewall, je ne vais pas mettre seulement 5 min à tester son fonctionnement. En plus je risque bien de mettre en l'air mon parefeu pendant mes tests. (et peut être aprés aussi d'ailleurs).
C'est pour ça que je demande...

Enfin bon je vais chercher de la documentation sur shorewall, en espérant que c'est bien ce qui est utilisé sur mon système.

[MatRem]

Aprés avoir passé une petite matinée à lire la doc d'iptables (un peu trop compliqué ) puis celle de shorewall (ha c'est plus facile ), j'ai réussi à établir la règle que je citait au début de la discussion.

J'ai donc pu m'apercevoir que shorewall était bien activé sur mon pc, et j'ai donc compris que forcément il y a iptables derrière.
J'ai aussi pu voir que l'outil de mandriva modifie /etc/shorewall/rule.drakx, il utilise donc shorewall.

Je suis content j'ai bien tout compris... enfin presque.


Prenons un exemple ou la machine à autoriser est située derrière un routeur:

Pour l'instant j'utilise une règle du type:

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

ACCEPT   net:<nom_dns_du_routeur>   fw   <protocole>   <port>

Mais avec ça j'autorise toutes les machines qui se trouvent derrière le routeur à utiliser le port/protocole.
Je me demande donc s'il est possible de n'autoriser qu'une machine spécifique qui se trouve derrière le routeur.

[troumad]

Tu peux configurer hosts.deny et hosts.allow (non testés) :

httpd:all

httpd:Machine_acceptée (nom ou Ip)

Tu peux aussi utiliser Iptables Il y a un exemple intéressant dans mon cours http://troumad.info/Linux/Linux.odt : il ne te restera qu'à l'adapter !
Par exemple avec la ligne (non testé) :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

$ipt -A INPUT -s Machine_acceptée -p tcp --dport 80 -j ACCEPT

L'intérêt d'un script Iptables, c'est que tu pourras le mettre sur une autre distrib sans problèmes. Peut-être même sur du BSD (mais là je ne connais pas du tout). C'est donc un bon investissement

Si tu essaies, donne moi les résultats de ton test !

De mémoire, l'outil graphique de mandriva crée des scripts iptables

Oui. Quand je l'avais essayé, il modifiait les script shorewall qui eux ensuite créent des règles Iptables ! Ça fait plusieurs années que je ne l'utilise plus !
Le fire wall mis par défaut sur une mdv est trés restrictif pour la 2007 et la 2006

[chaval]

L'intérêt d'un script Iptables, c'est que tu pourras le mettre sur une autre distrib sans problèmes. Peut-être même sur du BSD (mais là je ne connais pas du tout). C'est donc un bon investissement

Non, iptables n'existe pas sous BSD. C'est "pf" qui fait ce travail
Il paraiterait que sa syntaxe est beaucoup plus sympathique, mais j'ai jamais vraiment vu

[troumad]

Non, iptables n'existe pas sous BSD. C'est "pf" qui fait ce travail

[troll]Une raison de plus pour moi de resté sous Linux[/troll]

[gorgonite]

BSD-power

d'ailleurs pf est super