freebsd et ipfw

Forum d'assistance et d'échange sur l'installation, la configuration, et l'utilisation des système Linux et BSD. Vous pouvez y poster vos questions concernant ces systèmes d'exploitation en faisant l'effort préalable de rechercher dans le forum, dans les manuels et les documentations que la réponse n'y figure pas.

Modérateur: modos Ixus

freebsd et ipfw

Messagepar voodoo.child » 31 Mars 2004 12:16

Bonjour à tous,

Je cherche des tutoriaux sur le firewall ipfw de freebsd. Je ne trouve pas grand chose à ce sujet. Le handbook de freebsd est un peu léger en ce qui concerne ce sujet.
Il y a encore moins d'information sur ipfw2

En fait, je checrhe simplement à protéger mon serveur de mail.
donc les ports ouverts sont ssh, smtp, pop, imap, www et dns

Je vous en remercie par avance.

Pourriez vous me donner votre avis sur ipfilter vs ipfw ??????
Avatar de l’utilisateur
voodoo.child
Major
Major
 
Messages: 85
Inscrit le: 31 Mars 2004 12:11
Localisation: marseille

Messagepar voodoo.child » 01 Avr 2004 00:58

J'ai l'impression que freebsd n'est pas à la mode sur ce forum
la connaissance est aux frontières de notre ignorance
Avatar de l’utilisateur
voodoo.child
Major
Major
 
Messages: 85
Inscrit le: 31 Mars 2004 12:11
Localisation: marseille

Messagepar Franck78 » 01 Avr 2004 01:55

Bonjour !

Demandes à Google de répondre à cette question.
C'est vrai que je n'ai pas vu souvent parler
de freebsb par ici.
Tu n'es pas tout seul dans ton cas, il doit bien y avoir des docs ( en anglais tans-pis) pour cette conf
de base.
Les compararatifs, c'est pareil. Cherche zonealarm
dans les forums(mars), un des posts renvoie sur un
comparatif de quelques FW (je n'ai pas retenu le lien). Ici ca cause iptables. Pas encore ipfw !

Tiens, tu n'auras pas posté en vain:c'est celle
en bas de page qui convient. C'est une Bellaminette
spéciale freebsd très jolie (Bruno bellamy fait plein
de couv de magazine)!


http://neverland.net/bellamy/good/wallpapers.php
Dernière édition par Franck78 le 02 Avr 2004 09:55, édité 2 fois au total.
Franck
L'art de poser une question sur ce site afin d'obtenir la réponse
A LIRE
Avatar de l’utilisateur
Franck78
Amiral
Amiral
 
Messages: 5625
Inscrit le: 20 Fév 2004 01:00
Localisation: Paris

Messagepar antolien » 01 Avr 2004 06:59

Ce serait sympa d'être un peu plus cordial avec les membres franck ...
Avatar de l’utilisateur
antolien
Amiral
Amiral
 
Messages: 3134
Inscrit le: 31 Août 2002 00:00

Messagepar voodoo.child » 02 Avr 2004 22:49

Salut les gars,
J'ai fait qq recherche sur ipfw. Il n'est pas au top mais suffisant pour sécuriser un serveur. Je ne crois pas qu'il soit judicieux de l'employer comme passerelle réseau.

Mon firewall protège un serveur de mail sur un réseau local. Les ports ouverts sont ssh, smtp, pop, imap et http

Faites moi parvenir vos remarques

A+

Code: Tout sélectionner
        # Variables cmd firewall
        fwcmd="/sbin/ipfw -q"

        # Caracteristique de la carte reseau
        if="rl0"
        net="192.168.0.0"
        mask="255.255.255.0"
        ip="192.168.0.3"

        # Services reseaux externes
        ntp="ntp-sop.inria.fr"
        dns1="194.2.0.20"
        dns2="80.10.246.3"

        # Initialisation Loopback
        ${fwcmd} add 100 pass all from any to any via lo0
        ${fwcmd} add 200 deny all from any to 127.0.0.0/8
        ${fwcmd} add 300 deny ip from 127.0.0.0/8 to any

######## DYN ############

        # Check les regles dynamiques
        ${fwcmd} add check-state

######## FIN DYN #######

######## ICMP ###########
        #Seul le ping est autorise home <-> web

        # Echo Request
        ${fwcmd} add pass icmp from any to any icmptypes 8 keep-state

        # Echo Reply
        ${fwcmd} add pass icmp from any to any icmptypes 0 keep-state

######## FIN ICMP #######

######## TCP ############

        # Refuse les paquets fragmentes
        ${fwcmd} add deny  all from any to any frag

        # Refuse les paquest avec les bits RST ou ACK (connection non dynamique)
        ${fwcmd} add deny tcp from any to any established

        # Autorise IN SSH 22 (4 Connections max)
        ${fwcmd} add allow tcp from any to ${ip} 22 setup keep-state limit src-addr 4 in via ${if}

        # Autorise IN SMTP 25
        ${fwcmd} add allow tcp from any to ${ip} 25 setup keep-state in via ${if}

        # Autorise IN HTTP 80
        ${fwcmd} add allow tcp from any to ${ip} 80 setup keep-state in via ${if}

        # Autorise IN POP 110
        ${fwcmd} add allow tcp from any to ${ip} 110 setup keep-state in via ${if}

        # Autorise IN IMAP 143
        ${fwcmd} add allow tcp from any to ${ip} 143 setup keep-state in via ${if}

        # Autorise OUT SMTP 25
        ${fwcmd} add allow tcp from ${ip} to any 25 setup keep-state out via ${if}

        # Autorise OUT HTTP 80 (Pour les MAJ du systeme)
        ${fwcmd} add allow tcp from ${ip} to any 80 setup keep-state out via ${if}

        # Log des paquets tcp non autorises
        ${fwcmd} add deny log tcp from any to any

######## FIN TCP ########

######## UDP ############

        # Autorise OUT DNS 53
        ${fwcmd} add allow udp from ${ip} to ${dns1} 53 keep-state
        ${fwcmd} add allow udp from ${ip} to ${dns2} 53 keep-state

        # Autorise OUT NTP 123
        ${fwcmd} add pass udp from ${ip} to ${ntp} 123 keep-state

        # Log des paquets udp non autorises
        ${fwcmd} add deny log udp from any to any

######## FIN UDP ########

######## LOG ############

        # On logge ce qui n'est pas autorise
        ${fwcmd} add 65000 deny log all from any to any

######## FIN LOG ########
[/code]
la connaissance est aux frontières de notre ignorance
Avatar de l’utilisateur
voodoo.child
Major
Major
 
Messages: 85
Inscrit le: 31 Mars 2004 12:11
Localisation: marseille

Messagepar voodoo.child » 05 Avr 2004 09:19

Est-ce que qq'un à tester le fw ci-dessus sur une machine Freebsd ???
la connaissance est aux frontières de notre ignorance
Avatar de l’utilisateur
voodoo.child
Major
Major
 
Messages: 85
Inscrit le: 31 Mars 2004 12:11
Localisation: marseille

Messagepar voodoo.child » 05 Avr 2004 21:58

J'ai remarqué un petit pb au moment du boot.
Le Fw ne fais pas de résolution de nom de domaine.
Car la route par défaut est ajouter après que les règmes du FW soient chargés.
Donc, il faut mettre l'@ ip et non le nom de domaine.

Je pense que c une question de sécurité, les services réseaux et laccès réseau ne sont possible qu'apès chargement du FW.

Donc veuiller changer ntp-sop.inria.fr par 138.96.64.10
la connaissance est aux frontières de notre ignorance
Avatar de l’utilisateur
voodoo.child
Major
Major
 
Messages: 85
Inscrit le: 31 Mars 2004 12:11
Localisation: marseille

Au sujet de ipfw

Messagepar micatod » 02 Avr 2006 17:35

Moi je l'utilise en tant que passerelle pour mon réseau et je le trouve très bien

Michael.
micatod
Matelot
Matelot
 
Messages: 2
Inscrit le: 30 Déc 2004 11:52


Retour vers Linux et BSD (forum généraliste)

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

cron