Salut a toutes et tous, je chercher des informations qui me sont nécessaires à la réalisation dun firewall sous linux...
Adresses internet, conseils, aides diverses, expériences de linux etc....
Merci a tous

PS: je débute sur linux, cest dans le cadre scolaire

Merci

Ben sous linux il y a un seul firewall : netfilter

http://www.netfilter.org
http://lea-linux.org/reseau/iptables.html

Apres il existe aussi des interfaces graphiques pour eviter d'ecrire soit meme les regles.

Cimer pour la rapidité , jconnaissais deja lea mais pas netfilter , merci .
Sinon, pour linterface graphique, on en a pas dans la salle info ou jsuis , on a essayé dy installer mais marchait pas :s
Donc, fo tout taper à la main
En tout les cas, merci de ta réponses rapide

PS: passe le bjr a guizmo

eueuh oui sauf que netfilter c le projet initila, donc si il y a un site à connaitre et à prendre en reference c celui la!

sinon, prends bien soin d'activer les options netfilter pour ton nouveau noyau (et oui, il faut recompiler..), a la limite active les toutes sauf les experimentales si tu n'est pas sur de toi, et vi powa

je te file un exemple, adapte ensuite à ta sauce:

EDIT:pas la peine de te prendre la tete avec les modules spécifiques, maintenant si tu as des questions n'hesites pas

#!/bin/bash

# Another iptables fw-masq-ppp example ....
# 4 Dec 2002 00:58 by MdK

echo "Launching firewall : iptables."


INTERNAL_INTERFACE="eth0" # My LAN card
EXTERNAL_INTERFACE="ppp0" # My Modem
LOCAL_NET="192.168.0.0/24" # My LAN adress range
LOCAL_BCAST="192.168.0.255" # My LAN broadcast adress
LOCAL_ADRESS="192.168.0.1" # My LAN unique adress

# Initialization section
#------------------------------

# Close Reset except for us
# Do NOT use ACCEPT for INPUT rule if you dont know what you are doing ! Prefer the Close reset and consult man pages or HOWTO ...
iptables -F
iptables -t nat -F
iptables -t mangle -F
iptables -X
iptables -t nat -X
iptables -t mangle -X
iptables -P INPUT DROP
iptables -P OUTPUT ACCEPT
iptables -P FORWARD ACCEPT

#
# Anti-abuse rules ---
#

# First we create a specific rule for our needs
iptables -N ABUSE

# Abusive ping protect
iptables -A ABUSE -p icmp --icmp-type echo-request -m limit --limit 1/s -j ACCEPT # Against "Ping of Death"
iptables -A ABUSE -p icmp --icmp-type 8 -m length --length 93: -j DROP
iptables -A ABUSE -p icmp --icmp-type 8 -j ACCEPT
iptables -A ABUSE -p icmp --icmp-type 11 -j ACCEPT

# Portscan protect
# Need psd.patch from netfilter patch-o-matic
iptables -A ABUSE -m psd -i $EXTERNAL_INTERFACE -j REJECT --reject-with icmp-host-unreachable
iptables -A ABUSE -p tcp -i $EXTERNAL_INTERFACE --tcp-flags SYN,ACK,FIN,RST RST -m limit --limit 1/s -j ACCEPT


#iptables -A ABUSE -p icmp --icmp-type 0 -j REJECT --reject-with icmp-host-unreachable # If you are not born to be alive..
#iptables -A ABUSE -p icmp --icmp-type 5 -j REJECT --reject-with icmp-host-unreachable #

# ---
#


#
# Black widow rules ---
#

# Blacklisted ip protect
# Use with AcidLab module BlackWidow (thx MdK)

# First we create a specific rule for our needs
iptables -N BLACK_WIDOW

BW_DIR=/usr/share/acidlab/BW
$BW_DIR/black_widow.sh 3 >/tmp/blacklist
for ip in `cat /tmp/blacklist`
do
iptables -A BLACK_WIDOW -s $ip -j DROP
done
rm -f /tmp/blacklist

# ---
#


#
# External traffic rules ---
#

# First we create a specific rule for our needs
iptables -N DOOR

# Then we release our local net except for possible traffic on NetBios
iptables -A DOOR -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A DOOR -i $EXTERNAL_INTERFACE -p tcp ! --syn -m state --state NEW -j DROP # Reject "new-not-syn" packets
iptables -A DOOR -i $EXTERNAL_INTERFACE -p tcp --dport 139 -j DROP # Reject any NetBIOS stuff
iptables -A DOOR -i $EXTERNAL_INTERFACE -p tcp --dport 445 -j DROP # Idem
iptables -A DOOR -i ! $EXTERNAL_INTERFACE -m state --state NEW -j ACCEPT # Let's connect us to the world!

# And here we work around worldwide net ingoing connections

iptables -A DOOR -m state --state NEW -p tcp --dport 22 -j ACCEPT #SSH
iptables -A DOOR -m state --state NEW -p tcp --dport 80 -j ACCEPT #HTTP
iptables -A DOOR -m state --state NEW -p tcp --dport 443 -j ACCEPT #HTTPS
iptables -A DOOR -m state --state NEW -p tcp --dport 25 -j ACCEPT #SMTP

# HALFLIFE
#iptables -A DOOR -m state --state NEW -p udp --dport 27015 -j ACCEPT
# VPN
#iptables -A DOOR -m state --state NEW -i ipsec+ -o $EXTERNAL_INTERFACE -j ACCEPT
#iptables -A DOOR -m state --state NEW -i $EXTERNAL_INTERFACE -o ipsec+ -j ACCEPT

# And now close any else stuff
iptables -A DOOR -j DROP

# ---
#

#---------------------------------------------------------------------------------
# FILTER section
#---------------------------------------------------------------------------------


# Against abuse
iptables -A INPUT -j ABUSE
iptables -A INPUT -j BLACK_WIDOW

# Then we open our door
iptables -A INPUT -j DOOR
iptables -A FORWARD -j DOOR


#---------------------------------------------------------------------------------
# NAT section
#---------------------------------------------------------------------------------

# Masquerade local net
iptables -t nat -A POSTROUTING -s $LOCAL_NET -o $EXTERNAL_INTERFACE -j MASQUERADE
iptables -t nat -A PREROUTING -s 127.0.0.1/8 -i ! lo -j DROP


#---------------------------------------------------------------------------------
# MANGLE section
#---------------------------------------------------------------------------------

# Rendo il server invisibile ai traceroute dall'interno (thx Ghezzo)
# Need TTL.patch from netfilter patch-o-matic
iptables -t mangle -A PREROUTING -j TTL --ttl-inc 1


# EOF
# Enjoy! and see http://www.netfilter.com for updates

Je n'ai pas essaye mais j'ai entendu bcp de bien de shorewall ..

ouaip, mais je vois pas pkoi utiliser ot chose alors qu'on a deja ce k'il faut

faut voir, quels seraient les avantages?

parce que pour l'instant iptables a tout pour lui (facilité d'utilisation, integration au noyau, etc..)

Huh, c'est juste une interface facile d'acces a iptables .. pas un concurrent ..

Quoique je suis plutot pour la diversite des outils de qualite en general, style 2/3 ..

dsl, ca m'apprendra a parler sans savoir
dire que g hesite a aller me rensigner sur ce que c'etait avant de poster, mais la flemme me gagna et l'adoration entiere et complete que je porte a iptables l'emporta

Le 15 octobre 2004 - 10 h 57, iraysyvalo a écrit : Huh, c'est juste une interface facile d'acces a iptables .. pas un concurrent .. Quoique je suis plutot pour la diversite des outils de qualite en general, style 2/3 ..

oui, shorewall est fait pour êtrer compréhensible pour le débutant et sur le site shorewall.net il y a des exemples facile à tester pour configurer une passerelle avec différentes zones : démilitarizée, hyper protégé avec identification en dur des cartes éthernet par exemple (si je me souviens bien), zone protégée dhcp libre...

Bon je dis ça dans un language en tant que non informaticien

Ok, merci a tous, jai de quoi faire .
Le truc cest que jai pas tres bien compris lhistoire des Kernel ... et de lhistoire de la REcompilation...
Merci davance

Tu n'as pas forcement besoin de recompiler ton kernel ..
Celui fourni de base avec ta distribution ira tres bien, il te faut juste charger les modules relatifs a iptables, c'est explique dans le lien vers lea-linux que je t'ai donne plus haut.

mouais, enfin si ca marche pas il faudra recompiler -dans certains cas netfilter n'est pas active dans le noyau d'origine

Et Mandrake MNF, ça vaut quoi ?

Le 08 novembre 2004 - 20 h 53, breizman a écrit : Et Mandrake MNF, ça vaut quoi ?

pas testee

ca a l'air d'etre une bonne petite appliance, ca peut etre pas mal pour des PME souhaitant obtenir le support associe

par contre je pense que ca a le defaut de ne pas etre tres souple

et Clarckconnect 2.2 ?

Fait plutot un nouveau topic pour demander l'avis des gens sur les distributions linux orientees firewall/securite ..

Re les gens, je passe cet après midi sur mon Ap : firewall linux lol ..Mais ya plein de lignes ki fouar, je comprend pas trop...
Laissez tombé pour le kernell, jai simplement fait 2 fichiers, un qui lance le firewall lautre ki le stoppe.
Jecrirai plus tard les lignes de mon MINI MINI firewall...
Mais en attendant, si quelqun pouvait me filer la ligne iptables pour blocker lacces FTP ce serait sympa. Jai essayé plusieurs tentatives mais en vain...
Au fait, cest quoi la commande pour dire quon travaille sous net filter ou nat..
Merci

hello fulgore

je décèle qques problèmes de compréhension, alors à mon avis un petit tour
là : www.netfilter.org
là : http://www.lea-linux.org/reseau/iptables.html (jusqu'au point 3, et plus loin si le courage y est)
et là http://gick.servebeer.com/lugar/phpbb/viewtopic.php?p=65#65 pour un exemple simple (ma config réseau en fait ), désolé pour le fouilli, je m'y suis mis vendredi dernier et c'est tjs en cours de rédaction

ok, merci, je te répondrais dune manière plus exhaustive la prochaine fois, cad , montrer ma cfg, et te donner un site web que tu ne vas pas regretter !!!
merci

iptables -A INPUT -p tcp --dport 21 -j DROP
iptables -A FORWARD -p tcp --dport 21 -j DROP

mais bon, le principe normalement dans un fw c'est d'interdire tout et d'autoriser uniquement ce que tu veux -en tous cas pour ce qui veint de l' "exterieur"