Configuration MNF

[djassper]

Bonjour tlm <BR> <BR>je peine avec ma MNF, je v finir par croire que je suis un imbécile, pourtant j'en avais pas l'impression juqu'à présent, entre autres problèmes, j'arrète pas de faire des shorewall clear car pour je ne sais quelle raison je perds l'accès à l'interface web, tres souvent après n'importe quelle validation, alors que en réappliquant mes regles sans les modifier je garde l'accès, je pige rien. <BR> <BR>g vu en redémarrant le firewall que ma carte réseau WAN était en mode promiscuous, c quoi dont ? c grave ? en tout cas ca marche pu, pu d'accès internet... <BR> <BR>Ya il un tutoriel sur la mise en place standard d'une MNF quelque part, avec les bons paramétrages à faire et dans l'ordre ou il faut les faire ? je veux mettre en place une config très standard, acces web via router pour le lan plus un serveur web dans la dmz accessible du lan et du wan. ca parait tout con et ca l'est sans doute mais bon voila quoi... au secours <IMG SRC="images/smiles/icon_smile.gif"> <BR> <BR>je vous dis merci, à genoux meme si il faut <IMG SRC="images/smiles/icon_wink.gif">

[ossi]

Il existe une doc en français sur le paramétrage de la MNF. <BR>Tu peux la télécharger à cette adresse <!-- BBCode auto-link start --><a href="http://www.ixus.net/modules.php?name=Distrib&dist=Mandrakesnf" target="_blank">http://www.ixus.net/modules.php?name=Distrib&dist=Mandrakesnf</a><!-- BBCode auto-link end --> , dans l'espace téléchargement relatif à la MNF c'est le fichier " FR-MNF-User.pdf". <BR>Tout y expliqué, le reste est un jeu d'enfant.... enfin d'un grand enfant...!<BR><BR><font size=-2></font>

[djassper]

ouaip j'ai lu ce manuel en diagonale, mais il n'est pas d'une grande aide pour quelqun qui n'est pas dans le bain, car il est dans l'optique "si vous voulez créer un masquage classique, cliquez sur le bouton créer un masquage classique" il n'explique pas pourquoi et dans quel cas il faut créer un masquage, je recherche plus un exemple concret lan+wan+dmz avec les regles qu'il faut le nat, l'acces à un serveur en dmz et tout ... <BR> <BR>j'aimerais savoir, par quoi on commence, pour ne pas se faire avoir et perdre l'accès à l'admin, et bref, un tutoriel sur une config normale de réseau telle que la mnf est sencée prendre en charge. C domage d'avoir un produit qui s'installe en 15 minutes et de passer des jours à le configurer alors que c tout con mais qu'on ne fait pas ce qu'il faut et dans l'ordre ou il faut ;o( <BR> <BR>je suis d'ailleurs étonné de ne trouver aucune doc de ce genre en ligne, si vous aviez une adresse je suis preneur ! <IMG SRC="images/smiles/icon_eek.gif">) <BR> <BR>

[ossi]

promiscuous : Si je ne m'abuse ce terme définie un mode de fonctionnement de carte ethernet. Dans ce mode la carte lit et check tous les paquets qui transitent... par exemple lorsque tu installes un snifer sur une machine, sa carte devrat être en mode promiscuous afin de pouvoir intercepter tous les paquets transitant sur le réseau. Il n'y a rien d'alarmant à cela dans la mesure où tu as sûrement activé un IDS (détecteur d'intrusion) comme snort ou prelude. <BR> <BR>En ce qui concerne la config de ta MNF il faut savoir que effectivement l'installation prend un temps infiniment plus court que son paramétrage. Le paramétrage d'un Firewall est une tâche de longue allène. Elle est directement proportionnelle à la complexité de ton réseau (nbr de DMZ, nbr de lan et virtual lan ....). <BR> <BR>En règles générales on procéde ainsi, on commence par étudier et mettre à plat sur une feuille ce que l'on veut faire : <BR> - nbr de zone (dmz, lan, wan....) <BR> - qui accède où (internet, dmz....) <BR>on ecrit donc une politique de sécurité... je sais c'est pas drôle mais ca permet surtout un truc, c'est de contrôler si ce que l'on a fait correspond bien à ce que l'on voulait. <BR>Des procédures pour réaliser sa politique puis le paramétrage de ses outils de sécurité (ipcop, MNF, chekpoint ou même IpTable ....) je ne pense pas que tu en trouves sur le web. Je pense qu'il faut procéder avec logique. <BR>Ensuite sur le plan technique : <BR> - On fait son install. <BR> - On rajoute des cartes réseaux s'il y a lieu. <BR> - On définie c'est zone (dmz, lan ...). moi je préconise de pas supprimer une zone même si elle n'a pas lieu d'être ... pas de suite du moins. <BR> - On les attribut ensuite aux différents interfaces. <BR>Puis on regarde les règles par défaut que nous propose la MNF. La MNF rejette tout par defaut et sa c'est bien .... <BR>Ensuite on va voir les exceptions de la MNF. <BR>La config par defaut (règles d'exception) de la MNF as deja configuré ton acces internet (web) pour les principaux protocoles utilisés (www, pop3, smtp, dns, nntp, imap ... ) plus quelques ICMP (le protocole icmp sert au transport des messages d'erreur) pour faciliter le comportement de l'ensemble. Il te reste effectivement à rajouter les règles concernant l'acces à ton serveur web en dmz. C'est donc une règle qui va de ta zone cliente lan --> dmz pour le www puis une qui va de ta zone cliente wan vers --> dmz pour le www (si tu veux autoriser les internautes du monde entier a accéder à ton site web. <BR>Une fois que tu as fait cela, tu vas t'interreser aux fameuses règles de masquage ip. Le masquage IP on l'utilise dans le cas où ton lan a pour adressage des ip dites privées (192.168.x.x par ex), non transportable sur Internet. Dans ce cas tu dois masquer cette adresse et la remplacer par une IP routable sur le réseau Internet. En autre l'IP que t'attribut ton FAI au moment de ta connexion. <BR>La nat c'est presque la même chose mais elle se réalise différement. Par exemple pour faire croire a tes clients que ton serveur web en DMZ est en direct sur Internet. <BR> <BR>Qd tu as fait tout ca ton réseau doit être en état de marche ... mais cela prend du temps.....et Paris ne s'est pas fait en un jour ! <BR>Bon courage !!!!! <IMG SRC="images/smiles/icon_wink.gif">

[djassper]

merci ossi ton post m'aide à structurer ma pensée <IMG SRC="images/smiles/icon_smile.gif"> <BR> <BR>déjà je viens d'isoler une erreur de ma part dont je pensais au départ qu'elle me faciliterait la vie, je testais ma MNF avec ses 3 interfaces réseau sur le meme switch pensant que les subnets ip différents suffiraient à permettre le tri des paquets... il semble au contraire que des requetes destinées au lan soient possiblement interceptées par la carte dmz et que du coup je perde l'accès à l'admin. je suppose que la MNF bloque mon IP considérant que je suis un pirate qui veut entrer par la dmz. <BR>Je ne le savais pas mais il semble que des filtres se mettent en place dynamiquement , créés par la MNF, ca se vérifie puisque je retrouve l'accès apres un shorewall clear. <BR> <BR>bref depuis que je teste ma MNF en position avec des réseau physiques isolés ca va nettement mieux... <BR> <BR>bonne continuation

[tsanga]

J'ai voulu modifier l'adresse ip de mon LAN sur mnf, maintenant des que veux me connecter en https il me refuse systematiquement "impossible de trouver la page ..."
Pourtant lorsque je rentre avec vi sur ce proxy les cartes sont tres bien configurer. Qui sait pourquoi ???

avec vi sur ifcfg-eth0, ca m'affiche "DO NOT MODIFY THIS FILE! it is updated automatically"

MERCI

[Jtrack]

Bonjour

meme probleme, prise de tete avec une mnf, et je trouve rien sur le net... Quelqu'un peut m'aider??

[Jacques-]

Pour comprendre la façon dont la MNF gère les zones, lire la documentation de shorewall (utilisé dans la MNF) sur le site du même nom. Il y a même des exemples en français sur la gestion de différents types d'architecture avec 2 ou 3 zones.

Pour le reste, lire la doc MNF en français, la doc d'Eric Faure, les modifs que j'ai donné sur ce site pour la mise à jour automatique et rechercher dans les posts de ce forum, il ya plein de réponses.

Jacques

[Gandalf]

Oui c'est vrai la MNF est bien plus complexe qu'un IPCOP par exemple et je me casse aussi les dents dessus quelquefois ( alors que IPCOP est assez vite maîtrisable ), mais en revanche je trouve que c'est une distribution un peu plus professionnelle qu'IPCOP et un peu plus sécurisée. Mais bon c'est vrai aussi qu'en voulant éditer certaines règles je me suis vite auto-interdit l'accès au MNF au début ( quel con ! ).
Ya pas de miracle il faut se palucher les docs, même si ya des passages super explicites où ils expliquent que le bouton masquage classique et ben on clique dessus quand on veut faire un masquage classique !!!!!

[lembal]

MNF est dédié à un usage professionnel comme il est dit plus haut... les professionnels réseaux, pour la plupart, maîtrisent les notions abordés dans la MNF : masquage statique, proxying ARP, NAT...etc. C'est pourquoi, avant de lire le manuel, il faut quelques connaissances réseaux que les auteurs ont du supposer être acquises...

[Jtrack]

Merci de vos reponse!

Ca y ai j'y suis arriver, mais pas sans mal, je tatonne, et c'est vrai que les doc sont pour des gens averti, mais en se plogant un peu dedans, on y arrive.

@++

Ps: tient maintenant je voudrai faire des regle perso, par exemple interdire msn messenger!!
J'ai deja bloquer le terme messenger avec le proxy, ce qui permet de bloquer la version web!
Par contre je me connecte tranquil avec le client msn 6.2

Sinon, est il possible de personnalisé les pages de refus du proxy?

[Jacques-]

La page de refus est générée à partir d'un template (je en sais plus lequel).
Recherche dans le répertoire http-naat (/var si je me souviens bien) ou un locate / find sur template

Jacques

PS : je crois me souvenir qu'il existe un template en FR mais que le lien n'est pas créé. Il me semble que j'ai fait pointer le répertoire utilisé par httpd-naat pour les templates vers le répertoire fr, mais il y a tellement longtemps que j'ai oublié. Et je n'ai pas de MNF sous la main en ce moment.

[Jtrack]

Oki merci, je vais chercher dans cet voie

@++

[casse gueule]

Merci de vos reponse!

Ca y ai j'y suis arriver, mais pas sans mal, je tatonne, et c'est vrai que les doc sont pour des gens averti, mais en se plogant un peu dedans, on y arrive.

@++

Ps: tient maintenant je voudrai faire des regle perso, par exemple interdire msn messenger!!
J'ai deja bloquer le terme messenger avec le proxy, ce qui permet de bloquer la version web!
Par contre je me connecte tranquil avec le client msn 6.2

Sinon, est il possible de personnalisé les pages de refus du proxy?

Bonsoir
pour MSN tu peux essayer d interdir le port 1863 les port sont documentés chez microsoft technet
mais je le retrouve pas de tête.

Pour info
http://angelkato.dyndns.org/articles.php?lng=fr&pg=99



Merci

[Jtrack]

Oki, merci, mais en faite j'avais trouver, (cf un autre post)

Merci pour tout

@++