Firewalling - Tout bloquer, puis autoriser ...

[paradox]

Hello, <BR> <BR>En milieu pro. J'aimerai savoir si il est possible de TOUT bloquer par defaut, dans les deux sens (LAN -> NET / NET -> LAN), pour éviter que mes users puisses utiliser la passerelle à leur convenances. J'autoriserai ensuite les machines autorisées à sortir vers le net, ou quelques protocoles (SMTP/POP, web, FTP vers un serveur unique, etC..). <BR> <BR> <BR>Car de base, c'est une vrai Gateway, qui laisse tout sortir .. <BR> <BR>Merciiiii

[antolien]

je te recommande d'aller à cette adresse et tu cliques sur le chapitre 7, il y a un exemple serieux pour ce que tu veux faire. <BR>sache que les modifs sont à faire dans le /etc/rc.d/firewall.up <BR>et remplacer leurs "zdm" par tes interfaces ipcop( genre $red_dev) <BR> <BR>maintenant, bonne chance ! <BR> <BR>honnêtement j'ai essayé, et plus rien ne marchait ! <IMG SRC="images/smiles/icon_biggrin.gif"> mais g dû m'y prendre comme un manche.

[antolien]

avec l'adresse ce sera un peu plus facile <IMG SRC="images/smiles/icon_biggrin.gif"> <BR> <BR><!-- BBCode auto-link start --><a href="http://www.freenix.fr/unix/linux/HOWTO/IPCHAINS-HOWTO.html#toc3" target="_blank">http://www.freenix.fr/unix/linux/HOWTO/IPCHAINS-HOWTO.html#toc3</a><!-- BBCode auto-link end -->

[paradox]

Merci bcp. Je vais aller lire ça. <BR> <BR>Questions : <BR> <BR> - Les modifs sont définitives ? Après reboot, pas besoin de les réappliquer ? (Cf : le système de Templates de la SME ..). <BR> - Faut il relancer un service après modif, pour prise en compte ? Si oui, lequel (si t'as la commande complète.. car ce n'est pas mon domaine). <BR> - Donc aucun moyen de gérer ça facilement par interface graphique ? :/ <BR> - désolé .. mais.. quel outil utiliser pour éditer des fichiers sous IPcop ? <BR> <BR>En tt cas, merci <IMG SRC="images/smiles/icon_razz.gif">

[paradox]

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2002-10-31 16:22, antolien a écrit: <BR><!-- BBCode Start --><B>et remplacer leurs "zdm" par tes interfaces ipcop( genre $red_dev)</B><!-- BBCode End --></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR> <BR>??? <BR>Zdm ?Kess ? <BR> <BR> <BR>Y'a t'il des inconvénients à faire ces modifs à la mano ? <BR> <BR>_________________ <BR><BR><BR><font size=-2></font>

[tetack]

je pense que ce n'est pas zdm mais DMZ qui signifie Zone DemilitariZée ( en anglais ) <BR> <BR>c la zone ou tu as tes serveur Ftp, http, .... <BR>accessible de l'exterieur et de l'interieur <BR>mais ce n'est pas ton reseau habituel de travailt ( pour des raisons evidentes de securité! ) <BR> <BR>voilou

[paradox]

Effectivement, ils utilisent (sur le site) le therme FR. <BR> <BR>Merci. <BR> <BR>Par contre, une idée pour mes différentes interogations ?

[antolien]

en réponse à : <BR>" Les modifs sont définitives ? Après reboot, pas besoin de les réappliquer ? (Cf : le système de Templates de la SME ..)" <BR> <BR>A priori, ces modifs sont définitives, mais il suffit de sauvegarder ton fichier que tu as modifié afin de pouvoir revenir en arrière. <BR> <BR>en réponse à <BR>" Faut il relancer un service après modif, pour prise en compte ? Si oui, lequel (si t'as la commande complète.. car ce n'est pas mon domaine). " <BR> <BR>le mieux est de redémarrer complètement le serveur pour que les modifs soient appliquées. <BR>Maintenant, en redémarrant des services, c'est peut être possible, mais je ne sais pas lequel et en plus comme il s'agit d'un script, je sais pas si c'est efficace. <BR> <BR>en réponse à: <BR>"Donc aucun moyen de gérer ça facilement par interface graphique ? :/" <BR> <BR>J'en ai bien peur, le forward et les services exterieurs, vpn, etc se font par interface graphique mais ça non <IMG SRC="images/smiles/icon_frown.gif"> <BR> <BR>en réponse à: <BR>" désolé .. mais.. quel outil utiliser pour éditer des fichiers sous IPcop ?" <BR> <BR>Sous ipcop, il y a "vi" biensûr, mais pour ma part j'utilise "joe" car il est plus simple d'utilisation. <BR>"vi fichier.ext" ou joe "fichier.ext" <BR> <BR> <BR>

[paradox]

merci bcp !