Configuration firewall [Resolu, enfin je crois...]

[Tagne]

Bonjour,

J'ai mis en place un VPN test que je voudrais installer entre le siège de l'entreprise où je fais mon stage et différentes antennes de l'entreprise.

Cependant, pour plus de sécurité, l'entreprise voudrait que les antennes ne puissent quasiment rien faire mis à part accepter les réponses qui ont été établies par le siège de l'entreprise.

Il faut donc pour cela modifier les iptables, j'ai commencé à me renseigner sur netfilter et iptables mais je voudrais savoir si parmis vous, certains ont déjà fait cela.

Merci pour vos réponses.

Tagne

[nl]

Cependant, pour plus de sécurité, l'entreprise voudrait que les antennes ne puissent quasiment rien faire mis à part accepter les réponses qui ont été établies par le siège de l'entreprise.

Tagne

Je comprends par trop la démarche. TCP/IP n'est pas un protocole à sens unique !!!

Pour réaliser ce que tu veux, je pense qu'il faut plutôt regarder du côté des droits de tes partages et les accès à tes postes.

Un vpn à pour but de simuler un lan / Lan. Les droits d'accès de tes postes, serveurs, imprimantes, sont là pour assurer la sécurité au sein même de l'entreprise.

[Tagne]

En fait ce que je voudrais, c'est que les personne des antennes ne puissent pas faire de http, ftp, irc... mais puissent accepter ce qui a été établit par le siège de l'entreprise.

J'ai vu comment bloquer certains ports mais comment tous les bloquer et quand même pouvoir accepter ce qui a été établit par le siège de l'entreprise ?

Merci.

[yannva]

Salut,

Une petite recherche sur le forum pour retrouver le site d'Antolien (dont je n'ai plus le lien ) t'informera complétement sur la manière de "tout bloquer".

A +

Yann

[nl]

OK, j'ai compris ce que tu veux faire.

voici le lien : http://antolien.free.fr/ipcop/

[Tagne]

Merci pour vos réponses.

Je connaissais le site d'Antolien en fait... mais il n'est pas indiqué comment accepter ce qui vient du siège et bloquer tout ce qui sort et qui est émis par quelqu'un d'une antenne.

Faut-il faire un mélange des solutions indiquées sur le site, ou bien ajouter d'autres règles ?

Merci encore.

[Tagne]

Est-ce que cela ferait l'affaire ?

Code: Tout sélectionner

   # Accepter seulement les reponses de ce qui arrive de l'exterieur
   /sbin/iptables -A FORWARD -i ipsec0 -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

   # localhost and ethernet.
   /sbin/iptables -A INPUT   -i lo          -j ACCEPT
   /sbin/iptables -A INPUT   -s 127.0.0.0/8 -j DROP # Loopback not on lo
   /sbin/iptables -A INPUT   -p icmp       -j ACCEPT
   /sbin/iptables -A FORWARD -i $GREEN_DEV -j DROP


a la place de

Code: Tout sélectionner

                # Accept everyting connected
   /sbin/iptables -A INPUT   -m state --state ESTABLISHED,RELATED -j ACCEPT
   /sbin/iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

   # localhost and ethernet.
   /sbin/iptables -A INPUT   -i lo          -j ACCEPT
   /sbin/iptables -A INPUT   -s 127.0.0.0/8 -j DROP # Loopback not on lo
   /sbin/iptables -A INPUT   -p icmp        -j ACCEPT
   /sbin/iptables -A INPUT   -i $GREEN_DEV -j ACCEPT
   /sbin/iptables -A FORWARD -i $GREEN_DEV -j ACCEPT


?

[Tagne]

[Tagne]

Bonjour,

Je viens d'essayer les modifications que j'ai indiqué ci-dessus (en changeant un peu).
Je récapitule ce que je dois faire :
- le siège de l'entreprise peut tout faire (ftp, vnc, ...)
- les antennes ne peuvent rien faire ou presque, puisque elles ne doivent accepter que ce qui est initié par le siège de l'entreprise

Voici les lignes du script rc.firewall que j'ai modifié :

Code initial :

Code: Tout sélectionner

                # Accept everything connected
   /sbin/iptables -A INPUT   -m state --state ESTABLISHED,RELATED -j ACCEPT
   /sbin/iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

   # localhost and ethernet.
   /sbin/iptables -A INPUT   -i lo          -j ACCEPT
   /sbin/iptables -A INPUT   -p icmp        -j ACCEPT
   /sbin/iptables -A INPUT   -i $GREEN_DEV -m state --state NEW -j ACCEPT
   /sbin/iptables -A FORWARD -i $GREEN_DEV -m state --state NEW -j ACCEPT

   # accept all traffic from ipsec interfaces
   /sbin/iptables -A INPUT   -i ipsec+ -j ACCEPT
   /sbin/iptables -A FORWARD -i ipsec+ -j ACCEPT


et le code modifié (la dernière ligne seulement) :

Code: Tout sélectionner

                # Accept everything connected
   /sbin/iptables -A INPUT   -m state --state ESTABLISHED,RELATED -j ACCEPT
   /sbin/iptables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

   # localhost and ethernet.
   /sbin/iptables -A INPUT   -i lo         -j ACCEPT
   /sbin/iptables -A INPUT   -p icmp       -j ACCEPT
   /sbin/iptables -A INPUT   -i $GREEN_DEV -m state --state NEW -j ACCEPT
   /sbin/iptables -A FORWARD -i $GREEN_DEV -m state --state NEW -j ACCEPT

   # accepte seulement traffic initie par la machine distante
   # et bloque tout traffic initie par la machine locale
   /sbin/iptables -A FORWARD -i ipsec+ -o eth+ -m state --state ESTABLISHED, RELATED -j ACCEPT


Voilà, je voulais savoir si ce que j'ai fais est juste ou si c'est une coïncidence ou de la chance ?

Je précise que cela fait bien ce que je veux, c'est à dire que d'un côté j'arrive bien à pinguer, à faire du vnc, du ftp... et de l'autre rien.

Merci pour vos réponses.

Tagne

PS : si je vous demande cela, c'est parce que c'est la première fois que je modifie le firewall...