iptable et server-manager

[ecureuil1]

bonjour,

Connaissez-vous une contrib pour gérer iptable?

anne

[Cool34000]

Salut,

Malheureusement non
Il semble que ce sujet soit tabou chez contribs, et c'est bien dommage

[jibe]

Salut,

Il faut dire que ce n'est pas vraiment (pour ne pas dire totalement en opposition ) avec "la philosophie" SME...

Si ça peut t'aider, bien que ce soit totalement obsolète, j'avais pondu ça... L'adaptation (si on peut dire ) à SME 7 ou 8 avec gestion par le server-manager est bien dans ma todo list... à la page 489564

Bon, s'il y a demande, j'essierai de voir si je ne peux pas l'avancer de quelques pages...

[Cool34000]

Il faut dire que ce n'est pas vraiment (pour ne pas dire totalement en opposition ) avec "la philosophie" SME...

Pas daccord : un firewall plus paramétrable que de simple ouverture de ports en mode passerelle ne serait pas du luxe... De plus un panneau bien fait et simple d'utilisation pour un novice averti n'aurait rien allant à l'encontre du VSB, et il règlerai bien des soucis, nottament ceux qui s'exposent à des risques inutiles ou des nuits sans dormir à essayer de faire fonctionner IPCOP+SME+Box ADSL à leur sauce.
Dans la liste des NFR les plus demandées que j'ai pu noté :
- l'ajout d'une 3ème interface réseau pour l'équivalent du réseau bleu d'IPCOP...
- un panneau permettant de faire du filtrage en sortie
- filtrage p2p (ipp2p)
- traffic shaping (WonderShaper)

Largement de quoi remplir la page 489565 tout en entier

[jibe]

Il faut dire que ce n'est pas vraiment (pour ne pas dire totalement en opposition ) avec "la philosophie" SME...

Pas daccord : un firewall plus paramétrable que de simple ouverture de ports en mode passerelle ne serait pas du luxe...

On ne va quand même pas refaire un troll ?

Bon, remarque que si c'est pour aller dans le sens que tu dis (éviter les usines à gaz avec ipcop...), je devrais être d'accord !

Mais bon, je ne vois absolument pas un pareil truc dans les mains de 90% de mes clients. Quant aux 10% restant, je tremblerais s'ils l'avaient. Je sens que la température des câbles de ma ligne téléphonique s'élèverait dans des proportions inégalées à cause des appels suite à intrusions...

Il ne faut pas oublier que nous sommes des spécialistes de la sécurité, et qu'à ce titre il est tout à fait normal qu'on aime adapter nos règles de firewalling, mais que ce n'est absolument pas le cas du public visé par SME...

Cela dit, je trouve quand même que ce serait pas mal (puisque j'espère un jour trouver le temps de le faire...), mais il faudrait que cela puisse se faire dans un autre panel que le server-manager. Il faudrait (un peu comme FreeEOS qui sépare root et admin) que l'accès puisse être réservé à l'installateur ou à des personnes vraiment compétentes (de même que certaines autres choses, comme les redirections de port), l'admin étant souvent dans les TPE un simple utilisateur qu'on peut parfois (pas toujours) qualifier d'averti...

[Cool34000]

Re

Loin de moi l'idée de troller !!!
Tu notera que je ne parle pas de DMZ par exemple (hors de propos dans le concept SME)... Pour l'interface bleu, OK, c'est limite... Pour le reste, c'est cacher !
Je dis simplement qu'un panneau simple et bien fait serait un gros plus... Pour prendre un exemple concret, jette un oeil à la config du firewall d'une Livebox : il est simple à prendre en main et paramétrable à différents niveaux. Tout le monde y trouve son compte !

Coté sécurité, je ne peux qu'être daccord avec toi... Mais pour ce qui est du firewall en sortie, je ne vois pas très bien le problème : rien n'est autorisé par défaut et on ouvre que ce qu'on a besoin... Le comportement du firewall de SME par défaut et de tout autoriser en sortie ! Le problème pour toi risque plus d'être des appels parce que les utilisateurs ne peuvent rien faire plutôt qu'une faille de sécurité ouverte !

[fred-info]

Salut,

Mais bon, je ne vois absolument pas un pareil truc dans les mains de 90% de mes clients. Quant aux 10% restant, je tremblerais s'ils l'avaient. Je sens que la température des câbles de ma ligne téléphonique s'élèverait dans des proportions inégalées à cause des appels suite à intrusions...

Je ne laisse pas 'admin' à mes clients. Ils ont les infos mais ne doivent pas les utiliser.

Il ne faut pas oublier que nous sommes des spécialistes de la sécurité, et qu'à ce titre il est tout à fait normal qu'on aime adapter nos règles de firewalling, mais que ce n'est absolument pas le cas du public visé par SME...

Entièrement d'accord.

Soit on place un SME parce qu'il correspond, pil poil.
Soit on utilise une autre solution.
SME ne peut et ne pourra jamais répondre à toutes les demandes.

Utiliser le bon outil pour le bon travail simplifie grandement les choses.


C'était ma pensée du soir ...

A+

[Cool34000]

SME ne peut et ne pourra jamais répondre à toutes les demandes.

C'est vrai, et c'est pour cela qu'il existe tout un tas de contribs !
A besoin spécifique, config spécifique...

[Muzo]

Bonjour

J'en avais fait une pour SME 5.6 et 6.0.
Mais le script iptable a changé, et depuis la flemme de m'y remettre.

Elle gérait les ouverture de port, les requêtes icmp, et je ne sais plus quoi.

/Muzo

[jibe]

Salut,

J'en avais fait une pour SME 5.6 et 6.0.
Mais le script iptable a changé, et depuis la flemme de m'y remettre.

Elle gérait les ouverture de port, les requêtes icmp, et je ne sais plus quoi.

Oui, c'est vrai que j'avais vu ça et que je m'étais dit qu'il fallait que je te contacte si un jour je me re-penchais sur la question. Puis ça m'est sorti de la tête, n'étant pas d'actualité pour moi...

Ton truc, c'était en GPL ? On peut avoir les sources et remettre ça au goût du jour ?

[Muzo]

Tout à fait, c'est tout GPL et tout et tout. J'avais même proposé sur le forum SMERP (y'a 2 ans) que si vous vouliez l'utilisez, vous pouviez.

Normalement, tout est accessible depuis ici:
ftp://muzo_b@www.muzo.fr/contribs/ (mot de passe vide)

Mais il n'y a plus accès au FTP ... je regarde ca ce soir.

En tous cas, ca faisait tout ca : http://www.muzo.fr/nest/contribs/HowTo/ ... anager.htm

Par contre je garantie pas la clareté de mon code de l'époque

/Muzo

[VIP-ire]

Pour l'équivalent d'une interface bleue, je suis en train de finaliser une contrib un peu de ce genre. Il me manque plus qu'à écrire de la doc (bon, c'est encore en béta, je l'ai pas énormément testé). Mais ça permet à une SME en server&gateway d'ajouter une 3° interface (eth2), et de faire tourner un hotspot dessus (coova-chilli). L'authentification utilise les comptes SME, on peut également ajouter des utilisateurs wifi uniquement, limiter le débit etc...
Je vous tiens au courrant dès que j'ai écris la doc si y'en a qui veulent tester.

[VIP-ire]

Voila qui est fait, un petit how-to est disponible ici: http://sme.firewall-services.com/spip.php?article61