freebsd et ipfw

[voodoo.child]

Bonjour à tous,

Je cherche des tutoriaux sur le firewall ipfw de freebsd. Je ne trouve pas grand chose à ce sujet. Le handbook de freebsd est un peu léger en ce qui concerne ce sujet.
Il y a encore moins d'information sur ipfw2

En fait, je checrhe simplement à protéger mon serveur de mail.
donc les ports ouverts sont ssh, smtp, pop, imap, www et dns

Je vous en remercie par avance.

Pourriez vous me donner votre avis sur ipfilter vs ipfw ??????

[voodoo.child]

J'ai l'impression que freebsd n'est pas à la mode sur ce forum

[Franck78]

Bonjour !

Demandes à Google de répondre à cette question.
C'est vrai que je n'ai pas vu souvent parler
de freebsb par ici.
Tu n'es pas tout seul dans ton cas, il doit bien y avoir des docs ( en anglais tans-pis) pour cette conf
de base.
Les compararatifs, c'est pareil. Cherche zonealarm
dans les forums(mars), un des posts renvoie sur un
comparatif de quelques FW (je n'ai pas retenu le lien). Ici ca cause iptables. Pas encore ipfw !

Tiens, tu n'auras pas posté en vain:c'est celle
en bas de page qui convient. C'est une Bellaminette
spéciale freebsd très jolie (Bruno bellamy fait plein
de couv de magazine)!


http://neverland.net/bellamy/good/wallpapers.php

[antolien]

Ce serait sympa d'être un peu plus cordial avec les membres franck ...

[voodoo.child]

Salut les gars,
J'ai fait qq recherche sur ipfw. Il n'est pas au top mais suffisant pour sécuriser un serveur. Je ne crois pas qu'il soit judicieux de l'employer comme passerelle réseau.

Mon firewall protège un serveur de mail sur un réseau local. Les ports ouverts sont ssh, smtp, pop, imap et http

Faites moi parvenir vos remarques

A+

Code: Tout sélectionner

        # Variables cmd firewall
        fwcmd="/sbin/ipfw -q"

        # Caracteristique de la carte reseau
        if="rl0"
        net="192.168.0.0"
        mask="255.255.255.0"
        ip="192.168.0.3"

        # Services reseaux externes
        ntp="ntp-sop.inria.fr"
        dns1="194.2.0.20"
        dns2="80.10.246.3"

        # Initialisation Loopback
        ${fwcmd} add 100 pass all from any to any via lo0
        ${fwcmd} add 200 deny all from any to 127.0.0.0/8
        ${fwcmd} add 300 deny ip from 127.0.0.0/8 to any

######## DYN ############

        # Check les regles dynamiques
        ${fwcmd} add check-state

######## FIN DYN #######

######## ICMP ###########
        #Seul le ping est autorise home <-> web

        # Echo Request
        ${fwcmd} add pass icmp from any to any icmptypes 8 keep-state

        # Echo Reply
        ${fwcmd} add pass icmp from any to any icmptypes 0 keep-state

######## FIN ICMP #######

######## TCP ############

        # Refuse les paquets fragmentes
        ${fwcmd} add deny  all from any to any frag

        # Refuse les paquest avec les bits RST ou ACK (connection non dynamique)
        ${fwcmd} add deny tcp from any to any established

        # Autorise IN SSH 22 (4 Connections max)
        ${fwcmd} add allow tcp from any to ${ip} 22 setup keep-state limit src-addr 4 in via ${if}

        # Autorise IN SMTP 25
        ${fwcmd} add allow tcp from any to ${ip} 25 setup keep-state in via ${if}

        # Autorise IN HTTP 80
        ${fwcmd} add allow tcp from any to ${ip} 80 setup keep-state in via ${if}

        # Autorise IN POP 110
        ${fwcmd} add allow tcp from any to ${ip} 110 setup keep-state in via ${if}

        # Autorise IN IMAP 143
        ${fwcmd} add allow tcp from any to ${ip} 143 setup keep-state in via ${if}

        # Autorise OUT SMTP 25
        ${fwcmd} add allow tcp from ${ip} to any 25 setup keep-state out via ${if}

        # Autorise OUT HTTP 80 (Pour les MAJ du systeme)
        ${fwcmd} add allow tcp from ${ip} to any 80 setup keep-state out via ${if}

        # Log des paquets tcp non autorises
        ${fwcmd} add deny log tcp from any to any

######## FIN TCP ########

######## UDP ############

        # Autorise OUT DNS 53
        ${fwcmd} add allow udp from ${ip} to ${dns1} 53 keep-state
        ${fwcmd} add allow udp from ${ip} to ${dns2} 53 keep-state

        # Autorise OUT NTP 123
        ${fwcmd} add pass udp from ${ip} to ${ntp} 123 keep-state

        # Log des paquets udp non autorises
        ${fwcmd} add deny log udp from any to any

######## FIN UDP ########

######## LOG ############

        # On logge ce qui n'est pas autorise
        ${fwcmd} add 65000 deny log all from any to any

######## FIN LOG ########


[/code]

[voodoo.child]

Est-ce que qq'un à tester le fw ci-dessus sur une machine Freebsd ???

[voodoo.child]

J'ai remarqué un petit pb au moment du boot.
Le Fw ne fais pas de résolution de nom de domaine.
Car la route par défaut est ajouter après que les règmes du FW soient chargés.
Donc, il faut mettre l'@ ip et non le nom de domaine.

Je pense que c une question de sécurité, les services réseaux et laccès réseau ne sont possible qu'apès chargement du FW.

Donc veuiller changer ntp-sop.inria.fr par 138.96.64.10

[micatod]

Moi je l'utilise en tant que passerelle pour mon réseau et je le trouve très bien

Michael.