iptable et server-manager

Forum dédié à la distribution du même nom et que vous pourrez télécharger sur http://www.contribs.org. La nouvelle version de cette distribution se nomme SME Server

Modérateur: modos Ixus

iptable et server-manager

Messagepar ecureuil1 » 03 Avr 2008 22:28

bonjour,

Connaissez-vous une contrib pour gérer iptable?

anne
ecureuil
Avatar de l’utilisateur
ecureuil1
Contre-Amiral
Contre-Amiral
 
Messages: 448
Inscrit le: 04 Avr 2002 00:00
Localisation: Grenoble, France

Messagepar Cool34000 » 03 Avr 2008 23:11

Salut,

Malheureusement non :(
Il semble que ce sujet soit tabou chez contribs, et c'est bien dommage :cry:
Avatar de l’utilisateur
Cool34000
Contre-Amiral
Contre-Amiral
 
Messages: 480
Inscrit le: 10 Sep 2006 10:45
Localisation: Nimes, France

Messagepar jibe » 03 Avr 2008 23:25

Salut,

Il faut dire que ce n'est pas vraiment (pour ne pas dire totalement en opposition :lol: ) avec "la philosophie" SME...

Si ça peut t'aider, bien que ce soit totalement obsolète, j'avais pondu ça... L'adaptation (si on peut dire :lol: ) à SME 7 ou 8 avec gestion par le server-manager est bien dans ma todo list... à la page 489564 :?

Bon, s'il y a demande, j'essierai de voir si je ne peux pas l'avancer de quelques pages...
"Le monde ne sera pas détruit par ceux qui font le mal, mais par ceux qui les regardent sans rien faire" (Albert Einstein)

Autrefois, l'Etat défendait des valeurs. Maintenant, il défend des profits... (Anne Haunnime)
Avatar de l’utilisateur
jibe
Amiral
Amiral
 
Messages: 4366
Inscrit le: 17 Oct 2003 00:00
Localisation: Haute Savoie

Messagepar Cool34000 » 03 Avr 2008 23:45

jibe a écrit:Il faut dire que ce n'est pas vraiment (pour ne pas dire totalement en opposition :lol: ) avec "la philosophie" SME...
Pas daccord : un firewall plus paramétrable que de simple ouverture de ports en mode passerelle ne serait pas du luxe... De plus un panneau bien fait et simple d'utilisation pour un novice averti n'aurait rien allant à l'encontre du VSB, et il règlerai bien des soucis, nottament ceux qui s'exposent à des risques inutiles ou des nuits sans dormir à essayer de faire fonctionner IPCOP+SME+Box ADSL à leur sauce.
Dans la liste des NFR les plus demandées que j'ai pu noté :
- l'ajout d'une 3ème interface réseau pour l'équivalent du réseau bleu d'IPCOP...
- un panneau permettant de faire du filtrage en sortie
- filtrage p2p (ipp2p)
- traffic shaping (WonderShaper)

Largement de quoi remplir la page 489565 tout en entier :lol: :wink:
Avatar de l’utilisateur
Cool34000
Contre-Amiral
Contre-Amiral
 
Messages: 480
Inscrit le: 10 Sep 2006 10:45
Localisation: Nimes, France

Messagepar jibe » 04 Avr 2008 00:00

Cool34000 a écrit:
jibe a écrit:Il faut dire que ce n'est pas vraiment (pour ne pas dire totalement en opposition :lol: ) avec "la philosophie" SME...
Pas daccord : un firewall plus paramétrable que de simple ouverture de ports en mode passerelle ne serait pas du luxe...

On ne va quand même pas refaire un troll ? :lol:

Bon, remarque que si c'est pour aller dans le sens que tu dis (éviter les usines à gaz avec ipcop...), je devrais être d'accord !

Mais bon, je ne vois absolument pas un pareil truc dans les mains de 90% de mes clients. Quant aux 10% restant, je tremblerais s'ils l'avaient. Je sens que la température des câbles de ma ligne téléphonique s'élèverait dans des proportions inégalées à cause des appels suite à intrusions...

Il ne faut pas oublier que nous sommes des spécialistes de la sécurité, et qu'à ce titre il est tout à fait normal qu'on aime adapter nos règles de firewalling, mais que ce n'est absolument pas le cas du public visé par SME...

Cela dit, je trouve quand même que ce serait pas mal (puisque j'espère un jour trouver le temps de le faire...), mais il faudrait que cela puisse se faire dans un autre panel que le server-manager. Il faudrait (un peu comme FreeEOS qui sépare root et admin) que l'accès puisse être réservé à l'installateur ou à des personnes vraiment compétentes (de même que certaines autres choses, comme les redirections de port), l'admin étant souvent dans les TPE un simple utilisateur qu'on peut parfois (pas toujours) qualifier d'averti...
"Le monde ne sera pas détruit par ceux qui font le mal, mais par ceux qui les regardent sans rien faire" (Albert Einstein)

Autrefois, l'Etat défendait des valeurs. Maintenant, il défend des profits... (Anne Haunnime)
Avatar de l’utilisateur
jibe
Amiral
Amiral
 
Messages: 4366
Inscrit le: 17 Oct 2003 00:00
Localisation: Haute Savoie

Messagepar Cool34000 » 04 Avr 2008 00:24

Re :wink:

Loin de moi l'idée de troller !!!
Tu notera que je ne parle pas de DMZ par exemple (hors de propos dans le concept SME)... Pour l'interface bleu, OK, c'est limite... Pour le reste, c'est cacher !
Je dis simplement qu'un panneau simple et bien fait serait un gros plus... Pour prendre un exemple concret, jette un oeil à la config du firewall d'une Livebox : il est simple à prendre en main et paramétrable à différents niveaux. Tout le monde y trouve son compte !

Coté sécurité, je ne peux qu'être daccord avec toi... Mais pour ce qui est du firewall en sortie, je ne vois pas très bien le problème : rien n'est autorisé par défaut et on ouvre que ce qu'on a besoin... Le comportement du firewall de SME par défaut et de tout autoriser en sortie ! Le problème pour toi risque plus d'être des appels parce que les utilisateurs ne peuvent rien faire plutôt qu'une faille de sécurité ouverte !
Avatar de l’utilisateur
Cool34000
Contre-Amiral
Contre-Amiral
 
Messages: 480
Inscrit le: 10 Sep 2006 10:45
Localisation: Nimes, France

Messagepar fred-info » 04 Avr 2008 00:27

Salut,

Mais bon, je ne vois absolument pas un pareil truc dans les mains de 90% de mes clients. Quant aux 10% restant, je tremblerais s'ils l'avaient. Je sens que la température des câbles de ma ligne téléphonique s'élèverait dans des proportions inégalées à cause des appels suite à intrusions...


Je ne laisse pas 'admin' à mes clients. Ils ont les infos mais ne doivent pas les utiliser.

Il ne faut pas oublier que nous sommes des spécialistes de la sécurité, et qu'à ce titre il est tout à fait normal qu'on aime adapter nos règles de firewalling, mais que ce n'est absolument pas le cas du public visé par SME...


Entièrement d'accord.

Soit on place un SME parce qu'il correspond, pil poil.
Soit on utilise une autre solution.
SME ne peut et ne pourra jamais répondre à toutes les demandes.

Utiliser le bon outil pour le bon travail simplifie grandement les choses.


C'était ma pensée du soir ...

A+
fred-info
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 200
Inscrit le: 04 Oct 2006 14:57

Messagepar Cool34000 » 04 Avr 2008 00:33

fred-info a écrit:SME ne peut et ne pourra jamais répondre à toutes les demandes.
C'est vrai, et c'est pour cela qu'il existe tout un tas de contribs !
A besoin spécifique, config spécifique...
Avatar de l’utilisateur
Cool34000
Contre-Amiral
Contre-Amiral
 
Messages: 480
Inscrit le: 10 Sep 2006 10:45
Localisation: Nimes, France

Messagepar Muzo » 04 Avr 2008 11:28

Bonjour

J'en avais fait une pour SME 5.6 et 6.0.
Mais le script iptable a changé, et depuis la flemme de m'y remettre.

Elle gérait les ouverture de port, les requêtes icmp, et je ne sais plus quoi.

/Muzo
/Muzo
"La vie n'est pas un combat, mais une passion à défendre!" MASS HYSTERIA - Knowledge is power
Avatar de l’utilisateur
Muzo
Amiral
Amiral
 
Messages: 5236
Inscrit le: 07 Mai 2003 00:00
Localisation: BNF! Je me culturise.

Messagepar jibe » 04 Avr 2008 19:08

Salut,

Muzo a écrit:J'en avais fait une pour SME 5.6 et 6.0.
Mais le script iptable a changé, et depuis la flemme de m'y remettre.

Elle gérait les ouverture de port, les requêtes icmp, et je ne sais plus quoi.

Oui, c'est vrai que j'avais vu ça et que je m'étais dit qu'il fallait que je te contacte si un jour je me re-penchais sur la question. Puis ça m'est sorti de la tête, n'étant pas d'actualité pour moi...

Ton truc, c'était en GPL ? On peut avoir les sources et remettre ça au goût du jour ?
"Le monde ne sera pas détruit par ceux qui font le mal, mais par ceux qui les regardent sans rien faire" (Albert Einstein)

Autrefois, l'Etat défendait des valeurs. Maintenant, il défend des profits... (Anne Haunnime)
Avatar de l’utilisateur
jibe
Amiral
Amiral
 
Messages: 4366
Inscrit le: 17 Oct 2003 00:00
Localisation: Haute Savoie

Messagepar Muzo » 07 Avr 2008 17:20

Tout à fait, c'est tout GPL et tout et tout. J'avais même proposé sur le forum SMERP (y'a 2 ans) que si vous vouliez l'utilisez, vous pouviez.

Normalement, tout est accessible depuis ici:
ftp://muzo_b@www.muzo.fr/contribs/ (mot de passe vide)

Mais il n'y a plus accès au FTP ... je regarde ca ce soir.

En tous cas, ca faisait tout ca : http://www.muzo.fr/nest/contribs/HowTo/ ... anager.htm

Par contre je garantie pas la clareté de mon code de l'époque 8-[

/Muzo
/Muzo
"La vie n'est pas un combat, mais une passion à défendre!" MASS HYSTERIA - Knowledge is power
Avatar de l’utilisateur
Muzo
Amiral
Amiral
 
Messages: 5236
Inscrit le: 07 Mai 2003 00:00
Localisation: BNF! Je me culturise.

Messagepar VIP-ire » 08 Avr 2008 09:10

Pour l'équivalent d'une interface bleue, je suis en train de finaliser une contrib un peu de ce genre. Il me manque plus qu'à écrire de la doc (bon, c'est encore en béta, je l'ai pas énormément testé). Mais ça permet à une SME en server&gateway d'ajouter une 3° interface (eth2), et de faire tourner un hotspot dessus (coova-chilli). L'authentification utilise les comptes SME, on peut également ajouter des utilisateurs wifi uniquement, limiter le débit etc...
Je vous tiens au courrant dès que j'ai écris la doc si y'en a qui veulent tester.
profitez de la vie, plus que 6ans avant la fin du mode !!!
VIP-ire
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 189
Inscrit le: 18 Août 2006 11:14

Messagepar VIP-ire » 08 Avr 2008 10:33

Voila qui est fait, un petit how-to est disponible ici: http://sme.firewall-services.com/spip.php?article61
profitez de la vie, plus que 6ans avant la fin du mode !!!
VIP-ire
Lieutenant de vaisseau
Lieutenant de vaisseau
 
Messages: 189
Inscrit le: 18 Août 2006 11:14


Retour vers E-Smith / SME Server

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Google [Bot] et 1 invité

cron