Doc règles par defaut

[MisterT]

Bonjour, <BR>Suite à des discussions récentes, je me demandais s'il existait une doc décrivant un peu plus "pédagogiquement" que la simple lecture du rc.firewall, comment IPCop était configuré par défaut au niveau des règles du firewall ? <BR> <BR>Une sorte de "plan de sécurité", au moins au niveau des règles ? <BR>Je n'ai rien trouvé en furetant à droite ou à gauche, alors si quelqu'un avait un petit lien sous le coude.... <IMG SRC="images/smiles/icon_smile.gif"> <BR>A vot' bon coeur... <BR>

[Jazzy_Troll]

Si cela peut aider : <!-- BBCode u2 Start --><A HREF="http://www.iglooduhack.com/linux_iptables.php" TARGET="_blank">Notions Iptables</A><!-- BBCode u2 End --> <BR> <BR> =Jazzy Troll=

[MisterT]

Je pense que ca peut aider beaucoup de monde à un peu mieux comprendre les règles iptables. Merci. <BR>Cependant, je cherchais un document où quelqu'un, qui comprend justement la syntaxe des iptables, aurait fait ce travail d'audit des règles d'IPCop... ou alors dans l'autre sens, le document de travail des développeurs d'IPCop : pourquoi y a-t-il telle ou telle règle d'activée, etc... <BR>

[grosbedos]

que cherches tu exactement ?? <BR> <BR>les regles en gros, genre green red autorisé, dmz green interdit ?? <BR>je suppose que non.. <BR> <BR>tu voudrais un rc.firewall avec explications a chaque regle ??

[jfroots]

<!-- BBCode auto-link start --><a href="http://www.lea-linux.org/books/LeaBook-reseau_iptables.pdf" target="_blank">http://www.lea-linux.org/books/LeaBook-reseau_iptables.pdf</a><!-- BBCode auto-link end --> <BR> <BR>c'est IPtables par l'exemple --> super pour les débutants (comme moi!) <BR> <BR>Ca explique la syntaxe et EN FRANCAIS.

[grosbedos]

un autre lien de qualité que l'on retrouve souvent sur le forum : <BR><!-- BBCode auto-link start --><a href="http://christian.caleca.free.fr/netfilter" target="_blank">http://christian.caleca.free.fr/netfilter</a><!-- BBCode auto-link end -->

[MisterT]

<!-- BBCode Quote Start --><TABLE BORDER=0 ALIGN=CENTER WIDTH=85%><TR><TD><font size=-2>En réponse à:</font><HR></TD></TR><TR><TD><FONT SIZE=-2><BLOCKQUOTE> <BR>Le 2003-10-31 23:37, grosbedos a écrit: <BR>que cherches tu exactement ?? <BR> <BR>les regles en gros, genre green red autorisé, dmz green interdit ?? <BR>je suppose que non.. <BR> <BR>tu voudrais un rc.firewall avec explications a chaque regle ?? <BR></BLOCKQUOTE></FONT></TD></TR><TR><TD><HR></TD></TR></TABLE><!-- BBCode Quote End --> <BR>Oui... et non... <BR>Le détail, c'est justement le rc.firewall. Mais c'est, à mon avis, trop compliqué pour un débutant... <BR>Je pensais plutôt à un document un peu plus "high level" donnant les idées qui ont abouti à la création des règles...

[tomtom]

green -> red : tout autorisé <BR>red -> green et Orange : tout fermé sauf ouverture dans las section transfert de ports <BR> <BR>firewall -> tout le monde : autorisé <BR> <BR>green -> firewall : autorisé <BR> <BR>orange -> firewall : ?? a verifier <BR> <BR>red -> firewall tout bloqué sauf regles dnas "acces aux services externes". <BR> <BR> <BR>Les paquets appartenant à des connexions tcp etablies ou à des sockets udp ouvertes peu de temps avant sont toujours autorisés dans les deux sens. (notation : ESTABLISHED, RELATED). Le related sert pour les paquets qui ne sont pas dans une socket ouverte mais qui sont "attendus" par le firewall au vu des connexions deja etablies (ex : la connexion data de tcp apres etablissmeent d'une connexion de controle). <BR> <BR> <BR>En resumé : <BR>Le green peut tout faire et les paquets reviennet <BR>le red ne peut pas acceder sans action specifique <BR>le orange peut accesder au red mais attention au dns <BR>le orange ne peut pas acceder au green sauf pinholes <BR> <BR>Si des vpn sont etablis tout ce qui transite par les vpn n'est pas filtré (attention, il vaudrait mieux modifier un peu ça !) <BR> <BR> <BR> <BR>Ca te va ? <BR> <BR> <BR>t.

[MisterT]

C'est un bon départ pour un doc... tu nous mets cà au propre dans un beau document qu'on publiera sur Ixus... ? <IMG SRC="images/smiles/icon_wink.gif"> <BR>Par contre, je suis surpris que ca n'existe pas déjà ? Pour écrire les règles dans le rc.firewall, il a bien fallu que les développeurs d'IPCop se basent sur une politique, non ? Elle n'est pas accessible quelque part cette "politique" ? <BR>

[tomtom]

bah tu sais la pomitique, c'est en gros ce que je t'ai dit... <BR>Ensuite on ajuste les règles qui vont bien, souvent parceque untel l'a conseillé.... <BR> <BR>C'est comme ça que l'on developpe <IMG SRC="images/smiles/icon_wink.gif"> <BR> <BR> <BR>Si tu veux definir toi-même ta politique, un conseil, fait ton script de règles toi-même ! <BR> <BR>t.