Bonjour,
Les règles par défaut de ma MNF sont :
1 vpn all ACCEPT info
2 all vpn ACCEPT info
3 lan all REJECT info
4 dmz all REJECT info
5 fw all REJECT info
6 wan all DROP info
7 all all ACCEPT info
Je suis obligé de ma dernière règle (all all) en ACCEPT car sinon mon VPN avec ma MNF distante ne marche pas.
Mais à koi sert vraiment cette dernière règle ? Est il dangereux de la supprimer ?
Merci d'avance.
Règles par défaut MNF
Modérateur: modos Ixus
4 messages
• Page 1 sur 1
Règles par défaut MNF
par eden91 » 22 Juil 2004 13:40
- eden91
- Aspirant
- Messages: 123
- Inscrit le: 20 Avr 2004 13:11
par Methos_Hi » 22 Juil 2004 15:40
il est dangereux de pas la supprimer!
elle est en contradiction avec une partie de ce qui vient avant.
si ton vpn ne marche pas c'est sans doute que tu as oublié des exceptions qui servent à faire fonctionner le vpn.
celles du genre
ACCEPT WAN FW [protocole necessaire au vpn]
ACCEPT FW WAN [protocole necessaire au vpn]
De même, les règles 1 et 2 c'est bon pour tester mais vaut mieux restreindre le trafic entre les sites au minimum pour éviter que l'attaque d'un site par exemple se propage à un autre.
elle est en contradiction avec une partie de ce qui vient avant.
si ton vpn ne marche pas c'est sans doute que tu as oublié des exceptions qui servent à faire fonctionner le vpn.
celles du genre
ACCEPT WAN FW [protocole necessaire au vpn]
ACCEPT FW WAN [protocole necessaire au vpn]
De même, les règles 1 et 2 c'est bon pour tester mais vaut mieux restreindre le trafic entre les sites au minimum pour éviter que l'attaque d'un site par exemple se propage à un autre.
-
Methos_Hi - Amiral
- Messages: 1520
- Inscrit le: 07 Fév 2004 01:00
- Localisation: Ile de France
Règle par défaut
par eden91 » 22 Juil 2004 17:22
Salut Méthos,
Accept FW WAN et Accept WAN FW avec quels ports, quels protocoles ?
Accept FW WAN et Accept WAN FW avec quels ports, quels protocoles ?
- eden91
- Aspirant
- Messages: 123
- Inscrit le: 20 Avr 2004 13:11
par Methos_Hi » 22 Juil 2004 18:47
je crois que je t'en ai déjà parlé.
c'est les deux fameux protocoles dont je me souviens jamais.
mais comme c'est ni du tcp ni de l'udp, ya pas de port.
regarde par exemple sur http://www.commentcamarche.net/initiation/vpn.php3
pour ipsec, il est question de AH, ESP et SA.
Renseigne toi sur leur fonctionnement car je crois bien que c'est sur eux qu'il faut établir les règles d'exceptions.
En fait normalement y'en a que deux qui sont utilisés. C'est (AH ou ESP) et SA je crois.
un deuxième [EDIT] pour dire que j'ai retrouvé le saint graal.
en plus j'avais oublié l'udp 500
et donc ya aussi les protocoles 50 et 51
cf. http://archives.mandrakelinux.com/firew ... g00782.php
3
une autre source intéressante :
http://archives.msfree.ca/firewall@mand ... 00182.html
dont :
General information about IPSEC
IPSec is a security encryption protocol used for secure communication
between two computers.
IPSec uses either AH (Authentication Header) or ESP (Encapsulating Security
Payload). AH verifies the identity of the sender and the content of the
packet only. Data is not encrypted.
ESP encrypts the data. ESP allows for the use of a so-called "Tunnel Mode"
that is similar to the PPTP protocol. The packet then includes the IP header
(necessary for transport) that is not encrypted and the data portion that
includes the whole encrypted original packet.
The protocol IKE (sometimes called ISAKMP) is used for authentication
(exchange of security keys). IKE runs on protocol UDP port 500. This port is
used as source and destination.
AH uses protocol 51, ESP uses protocol 50. IPSec may further communicate
with the entire certification authority using other protocols that do not
interfere with NAT.
Bilan : Ne pas confondre les numéros de ports (tcp/udp) et les numéros de protocoles.
c'est les deux fameux protocoles dont je me souviens jamais.
mais comme c'est ni du tcp ni de l'udp, ya pas de port.
regarde par exemple sur http://www.commentcamarche.net/initiation/vpn.php3
pour ipsec, il est question de AH, ESP et SA.
Renseigne toi sur leur fonctionnement car je crois bien que c'est sur eux qu'il faut établir les règles d'exceptions.
En fait normalement y'en a que deux qui sont utilisés. C'est (AH ou ESP) et SA je crois.
un deuxième [EDIT] pour dire que j'ai retrouvé le saint graal.
en plus j'avais oublié l'udp 500
et donc ya aussi les protocoles 50 et 51
cf. http://archives.mandrakelinux.com/firew ... g00782.php
3
une autre source intéressante :
http://archives.msfree.ca/firewall@mand ... 00182.html
dont :
General information about IPSEC
IPSec is a security encryption protocol used for secure communication
between two computers.
IPSec uses either AH (Authentication Header) or ESP (Encapsulating Security
Payload). AH verifies the identity of the sender and the content of the
packet only. Data is not encrypted.
ESP encrypts the data. ESP allows for the use of a so-called "Tunnel Mode"
that is similar to the PPTP protocol. The packet then includes the IP header
(necessary for transport) that is not encrypted and the data portion that
includes the whole encrypted original packet.
The protocol IKE (sometimes called ISAKMP) is used for authentication
(exchange of security keys). IKE runs on protocol UDP port 500. This port is
used as source and destination.
AH uses protocol 51, ESP uses protocol 50. IPSec may further communicate
with the entire certification authority using other protocols that do not
interfere with NAT.
Bilan : Ne pas confondre les numéros de ports (tcp/udp) et les numéros de protocoles.
-
Methos_Hi - Amiral
- Messages: 1520
- Inscrit le: 07 Fév 2004 01:00
- Localisation: Ile de France
4 messages
• Page 1 sur 1
Retour vers Mandriva MNF & SNF
Qui est en ligne ?
Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité