ca y est je me suis mis a securiser mon rezo ! mais ....

Forum sur la sécurité des réseaux, la configuration des firewalls, la mise en place de protections contre les attaques, de DMZ, de systèmes anti-intrusion ...

Modérateur: modos Ixus

Publier une réponse

Messagepar tetack » 02 Mai 2002 08:09

Salut a tous! <BR>j'avas mis un Zone Alarm chez moi histoire de voir ce que je me prenais sur la tete venant du net et la c pas triste, g pas été décu ! <IMG SRC="images/smiles/icon_mad.gif"> <BR> <BR>j'ai donc recupéré une vieillemachine pour faire office de firewall/routeur ... <BR>etant sur une plaque ECI avec un modme USB j'ai n'ai pas eut beaucoup le choix, j'ai donc du mettre ma passerelle sous debian ! <BR>apres qq WE de conf ca passe enfin !! <BR>tout mon rezo accède bien a internet COOL <IMG SRC="images/smiles/icon_confused.gif"> enfin presque : <IMG SRC="images/smiles/icon_cussing.gif"> <BR>en effet ma passerelle n'accède pas a internet ... <IMG SRC="images/smiles/icon_confused.gif"> <BR>si le firewall est desactivé sa passe mais la je comprend pas : cf mes regles de firewall <BR> <BR><!-- BBCode Start --><I># ! /bin/sh <BR># variables : <BR>INTRANET="192.168.0.0/24" <BR>LOCAL="eth0" <BR>ADSL="ppp0" <BR> <BR>KEEP="-m state --state ESTABLISHED,RELATED" <BR> <BR>case "$1" in <BR>start) <BR>echo "lancement regles firewall" <BR> <BR># accepte : LOCAL => INTERNET <BR>iptables -A INPUT -p all -s $INTRANET -i $LOCAL -d ! $INTRANET -j ACCEPT <BR> <BR># masquerading <BR>iptables -t nat -A POSTROUTING -s $INTRANET -d ! $INTRANET -o $ADSL -j MASQUERADE <BR> <BR># accepte toutes les connection depuis le local <BR>#iptables -A INPUT -i $LOCAL -p ALL $KEEP -j ACCEPT <BR>#iptables -A OUTPUT -o $LOCAL -p ALL $KEEP -j ACCEPT <BR> <BR>#accepte ssh sur le port 22 sur le serveur depuis ppp0 <BR>#iptables -A INPUT -p tcp --dport 22 -i $ADSL -j ACCEPT <BR> <BR># test pour pb de DNS du serveur <BR>#iptables -A INPUT -p tcp --dport 113 -i $ADSL -j ACCEPT <BR> <BR># accepte connections deja etablies <BR>iptables -A OUTPUT -o $LOCAL -p ALL $KEEP -j ACCEPT <BR>iptables -A INPUT -i $LOCAL -p ALL $KEEP -j ACCEPT <BR> <BR># DROP du reste <BR>iptables -A INPUT -p all -i $LOCAL -j DROP <BR>iptables -A INPUT -p all -i $ADSL -j DROP <BR>;; <BR> <BR>############################ <BR>stop) <BR>echo "arret regles firewall" <BR>iptables -F <BR>iptables -F -t nat <BR>iptables -X <BR>;; <BR> <BR>############################ <BR>status) <BR>iptables -v -nL <BR>iptables -v -t nat -L -n <BR>;; <BR> <BR>esac </I><!-- BBCode End --> <BR> <BR>[appel désespéré] HELP ME [/appel désespéré] <BR> <BR>_________________ <BR>L'univers et la $%#&! humaine sont infini ... quoique pour l'univers je ne suis pas sur ! " <br>Albert Einstein<BR><BR><font size=-2></font>
L'univers et la $%#&! humaine sont infini ... quoique pour l'univers je ne suis pas sur ! " <br>Albert Einstein
Avatar de l’utilisateur
tetack
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 275
Inscrit le: 26 Fév 2002 01:00
Localisation: Paris
Haut

Messagepar bruno » 02 Mai 2002 10:12

Essaye d'ouvrir la route vers le net pour localhost 127.0.0.1. <BR>A+ <BR> <BR>Bruno
Ixus, it's us !
Avatar de l’utilisateur
bruno
AdminIxus
AdminIxus
 
Messages: 1667
Inscrit le: 23 Mai 2001 00:00
Localisation: Sous le soleil de Nice
Haut

Messagepar tetack » 02 Mai 2002 12:16

mouais c ce kon m'as dis ! <BR>par ces regles <BR>le web est ouvert sur mon rezo mais pour ma passerelle ca passe pas par eth0 !! <IMG SRC="images/smiles/icon_biggrin.gif">
L'univers et la $%#&! humaine sont infini ... quoique pour l'univers je ne suis pas sur ! " <br>Albert Einstein
Avatar de l’utilisateur
tetack
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 275
Inscrit le: 26 Fév 2002 01:00
Localisation: Paris
Haut

Messagepar tetack » 02 Mai 2002 23:48

dis a quoi ca ressemble cette fichue règle car la ca me tape sur le système <IMG SRC="images/smiles/icon_mad.gif">
L'univers et la $%#&! humaine sont infini ... quoique pour l'univers je ne suis pas sur ! " <br>Albert Einstein
Avatar de l’utilisateur
tetack
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 275
Inscrit le: 26 Fév 2002 01:00
Localisation: Paris
Haut

Messagepar splyit » 03 Mai 2002 12:53

ton script est bon <BR> <BR>Mais, <BR> <BR>t'as verifié que tu avait activé le routage et le saut d'interface ? <BR> <BR>fait un tcpdump pour verifier les paquets en entrée/sortie. <BR> <BR>@+ <BR> <BR>
Nico
Avatar de l’utilisateur
splyit
Quartier Maître
Quartier Maître
 
Messages: 12
Inscrit le: 03 Avr 2002 00:00
Haut

Messagepar tetack » 03 Mai 2002 14:20

vi ca y est aussi ! <BR>le pb c t comme dis precedement dans les regles de firewall ! <BR>maintenant ca passe g modif mes regles comme suivant : <BR><!-- BBCode Start --><I># accepte : LOCAL => INTERNET <BR>iptables -A INPUT -p all -s $INTRANET -i $LOCAL -d ! $INTRANET -j ACCEPT <BR> <BR># masquerading <BR>iptables -t nat -A POSTROUTING -s $INTRANET -d ! $INTRANET -o $ADSL -j MASQUERADE <BR></I><!-- BBCode End --> <BR>==>> <BR><!-- BBCode Start --><I># accepte : LOCAL => INTERNET <BR>iptables -A INPUT -p all -d ! $INTRANET -j ACCEPT <BR> <BR># masquerading <BR>iptables -t nat -A POSTROUTING -o $ADSL -j MASQUERADE <BR></I><!-- BBCode End --> <BR> <BR>ca permet a tout de srotir mais je controle moins ce qui sort !! <BR>remarque si vous savez comment identifier la machine firewall dans les regles .... <BR>dites toujours !
L'univers et la $%#&! humaine sont infini ... quoique pour l'univers je ne suis pas sur ! " <br>Albert Einstein
Avatar de l’utilisateur
tetack
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 275
Inscrit le: 26 Fév 2002 01:00
Localisation: Paris
Haut

Messagepar tetack » 05 Mai 2002 23:44

le pb c que je souhaite maintenant faire la différence entre ce qui viens de eth0 eth1 pppO et de mon routeur !!!! <BR> <BR>$%#&! aidez moi !! <IMG SRC="images/smiles/icon_bawling.gif"> <BR> <BR>comment je peux faire pour identifier mon routeur dans ses scripts de firewall ??
L'univers et la $%#&! humaine sont infini ... quoique pour l'univers je ne suis pas sur ! " <br>Albert Einstein
Avatar de l’utilisateur
tetack
Capitaine de vaisseau
Capitaine de vaisseau
 
Messages: 275
Inscrit le: 26 Fév 2002 01:00
Localisation: Paris
Haut

Messagepar hyatus » 06 Mai 2002 00:13

<!-- BBCode auto-link start --><a href="http://www.linux-france.org/article/formation/fw.html" target="_blank">http://www.linux-france.org/article/formation/fw.html</a><!-- BBCode auto-link end -->
NewFFR.org
Avatar de l’utilisateur
hyatus
Quartier Maître
Quartier Maître
 
Messages: 16
Inscrit le: 09 Avr 2002 00:00
Localisation: NewFFR.org
Haut

Messagepar splyit » 14 Mai 2002 14:37

Bon ben vla mon script. je pense que ca peut te filer un coup de main. <BR> <BR>echo ' ----------------------------------------------------' <BR>echo ' Firewall' <BR>echo ' ----------------------------------------------------' <BR> <BR>#activation du forwarding entre interface <BR>echo 1 > /proc/sys/net/ipv4/ip_forward <BR> <BR># protection contre les requetes ICMP foireuses <BR>echo 'IP PROTECTION' <BR>echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts <BR>echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses <BR>for f in /proc/sys/net/ipv4/conf/*/rp_filter; do <BR> echo 1 > $f <BR>done <BR> <BR># Insertion des modules FTP <BR>echo 'INSERTING MODULES' <BR>insmod ip_nat_ftp <BR>insmod ip_conntrack_ftp <BR> <BR># Cleaning des regles existantes <BR>echo 'FLUSHING' <BR>iptables -F <BR>iptables -X <BR> <BR># definition des politiques IP <BR>echo 'POLICY' <BR>iptables -P INPUT DROP <BR>iptables -P OUTPUT ACCEPT <BR>iptables -P FORWARD ACCEPT <BR> <BR># Translation d'adresse vers le reseau interne <BR>echo 'MASQUERADE' <BR>iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE <BR> <BR># regles de base : DROP <BR>echo 'RULES' <BR>iptables -N firewall <BR>iptables -A firewall -j DROP <BR>iptables -N dropwall <BR>iptables -A dropwall -j DROP <BR>iptables -N badflags <BR>iptables -A badflags -j DROP <BR>iptables -N silent <BR>iptables -A silent -j DROP <BR> <BR>#protection contre les flags TCP foireux <BR>echo 'TCP FLAGS' <BR>iptables -A INPUT -i lo -j ACCEPT <BR>iptables -A INPUT -p tcp --tcp-flags ALL FIN,URG,PSH -j badflags <BR>iptables -A INPUT -p tcp --tcp-flags ALL ALL -j badflags <BR>iptables -A INPUT -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j badflags <BR>iptables -A INPUT -p tcp --tcp-flags ALL NONE -j badflags <BR>iptables -A INPUT -p tcp --tcp-flags SYN,RST SYN,RST -j badflags <BR>iptables -A INPUT -p tcp --tcp-flags SYN,FIN SYN,FIN -j badflags <BR> <BR># Refirection de Ports vers les daemon locaux <BR>echo 'PORT AUTH' <BR>iptables -A INPUT -i eth0 -d 0/0 -p tcp --dport 21 -j ACCEPT <BR>iptables -A INPUT -i eth0 -d 0/0 -p tcp --dport 22 -j ACCEPT <BR>iptables -A INPUT -i eth0 -d 0/0 -p tcp --dport 25 -j ACCEPT <BR>iptables -A INPUT -i eth0 -d 0/0 -p tcp --dport 80 -j ACCEPT <BR>iptables -A INPUT -i eth0 -d 0/0 -p tcp --dport 110 -j ACCEPT <BR>iptables -A INPUT -i eth0 -d 0/0 -p tcp --dport 143 -j ACCEPT <BR>iptables -A INPUT -i eth1 -d 0/0 -p tcp --dport 21 -j ACCEPT <BR>iptables -A INPUT -i eth1 -d 0/0 -p tcp --dport 22 -j ACCEPT <BR>iptables -A INPUT -i eth1 -d 0/0 -p tcp --dport 25 -j ACCEPT <BR>iptables -A INPUT -i eth1 -d 0/0 -p tcp --dport 80 -j ACCEPT <BR>iptables -A INPUT -i eth1 -d 0/0 -p tcp --dport 110 -j ACCEPT <BR>iptables -A INPUT -i eth1 -d 0/0 -p tcp --dport 143 -j ACCEPT <BR> <BR># bloacage du port 137 (broadcast windows) et autre <BR>echo 'OTHERS' <BR>iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT <BR>iptables -A INPUT -p udp --sport 137 --dport 137 -j silent <BR>iptables -A INPUT -j dropwall <BR> <BR>echo '--------' <BR>echo 'ALL DONE' <BR>echo '--------' <BR> <BR> <BR>Voila ! <BR>@+
Nico
Avatar de l’utilisateur
splyit
Quartier Maître
Quartier Maître
 
Messages: 12
Inscrit le: 03 Avr 2002 00:00
Haut
Publier une réponse

Retour vers Sécurité et réseaux

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 2 invité(s)

Powered by boolaz
cron