salut, je voudrais monter un serveur de partage de connexion ADSL sous linux, et puis monter un firewall...
 
c'est pour partager une connexion pour 3 machines sous XP, le PC sous linux sera appelé à ne faire que ça toute la journée, donc pas besoin d'une grosse machine, mais juste d'un boitier très silencieux... lol
 
Avez vous des conseils à me donner sur ce que je vais devoir utiliser ? (Samba, Firewall, etc...)
 
merci pour vos conseils...
 
A+

tu as fait une recherche sur ce site car le sujet a deja ete aborde des 10enes
de fois alors cherche .
sinon google est ton ami.
 
 
www.nikauch.d2g.com/board/
 
++

pour le partage/firewall c 'juste' une serie de regle iptable.
 
J'ai un script (ecrit par un pote) qui fait ca, si ca t'interesse...

Moi ca m'interresse, ou puis-je trouver ce script ?

fais le toi meme
 
iptables est super simple et c'est moins con que de pomper des trucs tout faits qui correspondent pas a tes besoins

 
je te l'ai envoier par mail
 
bah c clair que iptable est pas specialement complex, mais on a pas tjs le temps, et parfois des trucs tout fait ca marche pas si mal

Apolon34 t un peut pretentieu ou t'es tres fort parce que iptables n'est pas tres simple enfin toi tu dois dire ca parce que c sur que si tu fais des regles de partage de net y'a pas besoin d'etre ingenieur lol mais pour un newb c pas tjs evident  
@++

aurelboiss a écrit a écrit : Apolon34 t un peut pretentieu ou t'es tres fort parce que iptables n'est pas tres simple enfin toi tu dois dire ca parce que c sur que si tu fais des regles de partage de net y'a pas besoin d'etre ingenieur lol mais pour un newb c pas tjs evident   @++

 
Je suis pas pretentieu ni tres fort
 
Je trouve juste que la syntaxe iptables est tres simple.
Tu vas pas dire que -A INPUT, -A OUTPUT c'est dur a comprendre
 
apres tu specifies le proto, port source, destination c'est pas tres complique, mais necessite les connaissances basiques en tcp/ip
 
si tu as pas ces connaissances, ca sert pas a grand chose un firewall

 
Plus simple que ça : ?
 
IF_INTERNET="ppp0"
 
pass out quick on $IF_INTERNET proto tcp from any to any flags S/SA modulate state
pass out quick on $IF_INTERNET proto udp from any to any keep state
pass out quick on $IF_INTERNET inet proto icmp from any to any keep state
 
block in on $IF_INTERNET all

c'est quoi ton bordel ?

quel bordel ?
 
ça te fait un firewall en "statefull-inspection" selon les termes des marketeux de cisco.
 
Et c'est très bien expliqué là : http://www.openbsd.org/faq/faq6.html#PF

moi je trouve pas ca bien clair

Fais la même chose en netfilter, qu'on rigole.

si tu me dis a quoi ca sert exactement ouais

 
Si tu arrive à faire la difference entre tcp/udp/icmp, ça parle toute seule ces règles. Pour les questions de détaille, RTFM.
 
Dans le cas de contraire, une 'tite lecture de "tcp illustred" est plus que recommandée.

dans ce cas:  

http://linux-wizard.tuxfamily.org/liens.html#reseau
 
ce type de partage sous linux s'apelle du NAT

merci pour vos réponses, mais c'est pas évident à ce servir de IPTABLES...
 
en plus apparemment, il ne supporte pas plusieurs protocoles comme ICQ...
 
ESt ce que vous connetriez un HOWTO en francais sur IPTABLES, parce que je m'embrouille un peu avec celui en version anglo...
 
Merci A+

 
www.netfilter.org tu as toute la doc et en fr en plus

Iptables dépend du noyau que tu utilises (> 2.4) sinon il te faudra utiliser ipchains.
 
Il faut que tu créés un script que tu lances. Voici un exemple :
 
#!/bin/sh
#
# rc.firewall - Initial SIMPLE IP Firewall script for Linux 2.4.x and iptables
#
 
echo -e "\n\nLoading rc.firewall script ..\n"
 
###########################################################################
#
# 1. Configuration options.
#
 
###########################################################################
#
# Local Area Network configuration.
#
 
LAN_IP="192.168.0.1" -> l'IP de ta machine servant de passerelle
LAN_IP_RANGE="192.168.0.0/24" -> l'adressage de ton réseau
LAN_BCAST_ADRESS="192.168.255.255"
LAN_IFACE="eth0"
REMOTE_IP="194.21.74.55"
 
##################################################
 
#########################
#
# Localhost Configuration.
#
 
LO_IFACE="lo"
LO_IP="127.0.0.1"
 
 
##################################################
 
#########################
#
# Internet Configuration.
#
 
echo -e "Internet Configuration ..\n"
 
INET_IP=`ifconfig 'ppp0' | grep 'inet adr' | awk '{print $2}' | sed -e 's/adr\://'`
INET_IFACE="ppp0"
 
echo "External interface: $INET_IP"
echo "Internal interface: $LAN_IP"
 
 
###########################################################################
#
# IPTables Configuration.
#
 
IPTABLES="/usr/local/sbin/iptables" -> chemin eventuellement à modifier
##################################################
 
#########################
#
# 2. Module loading.
#
 
echo "Module Loading .."
/sbin/depmod -a
 
 
/sbin/modprobe ip_conntrack
/sbin/modprobe ip_tables
/sbin/modprobe iptable_filter
/sbin/modprobe iptable_mangle
/sbin/modprobe iptable_nat
/sbin/modprobe ipt_LOG
/sbin/modprobe ip_nat_ftp
/sbin/modprobe -a -k -s -v ip_nat_h323
#/sbin/modprobe ipt_REJECT
#/sbin/modprobe ipt_MASQUERADE
 
#/sbin/modprobe ipt_owner
 
/sbin/modprobe ip_conntrack_ftp
/sbin/modprobe ip_conntrack_irc
 
echo "Done loading modules"
 
###########################################################################
#
# 3. /proc set up.
#
 
echo "enabling forwarding .."
echo "1" > /proc/sys/net/ipv4/ip_forward
 
#
# Dynamic IP users:
#
echo "enabling DynamicAddr .."
echo "1" > /proc/sys/net/ipv4/ip_dynaddr
 
##################################################
 
#########################
# INPUT, FORWARD and OUTPUT chains.
#
 
echo "Set  policies."
 
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP
$IPTABLES -t nat -F
 
#############################################################################
# Create separate chains
#############################################################################
 
$IPTABLES -N icmp_packets
$IPTABLES -N tcp_packets
$IPTABLES -N udpincoming_packets
$IPTABLES -N allowed
$IPTABLES -N bad_tcp_packets
 
 
####
# bad_tcp_packets chain
####
 
 
$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j LOG \
--log-prefix "New not syn:"
$IPTABLES -A bad_tcp_packets -p tcp ! --syn -m state --state NEW -j DROP
 
 
# Do some checks for obviously spoofed IP's
 
$IPTABLES -A bad_tcp_packets -i $INET_IFACE -s 192.168.0.0/16 -j DROP
$IPTABLES -A bad_tcp_packets -i $INET_IFACE -s 10.0.0.0/8 -j DROP
 
# Refuse packets claiming to be from a class B private Network
 
$IPTABLES -A bad_tcp_packets -i $INET_IFACE -s 172.16.0.0/12 -j DROP
 
 
####
# allowed rules
####
 
 
$IPTABLES -A allowed -p TCP --syn -j ACCEPT
$IPTABLES -A allowed -p TCP -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A allowed -p TCP -j DROP
 
####
# icmp_packets rules
####
 
$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 8 -j ACCEPT
$IPTABLES -A icmp_packets -p ICMP -s 0/0 --icmp-type 11 -j ACCEPT
 
####
# tcp_packets rules
####
 
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 21 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 22 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 80 -j allowed
$IPTABLES -A tcp_packets -p TCP -s 0/0 --dport 113 -j allowed
 
####
# udpincoming_packets rules
####
 
# nondocumented commenting out of these rules
#$IPTABLES -A udpincoming_packets -p UDP -s 0/0 --source-port 53 -j ACCEPT
#$IPTABLES -A udpincoming_packets -p UDP -s 0/0 --source-port 123 -j ACCEPT
$IPTABLES -A udpincoming_packets -p UDP -s 0/0 --source-port 2074 -j ACCEPT
$IPTABLES -A udpincoming_packets -p UDP -s 0/0 --source-port 4000 -j ACCEPT
 
 
############################################################################
# INPUT chain
#
# Bad TCP packets we don't want.
############################################################################
 
$IPTABLES -A INPUT -p tcp -j bad_tcp_packets
 
####
# Rules for incoming packets from the internet.
####
 
$IPTABLES -A INPUT -p TCP -i $INET_IFACE --dport 1719:1720 -j ACCEPT
$IPTABLES -A INPUT -p UDP -i $INET_IFACE --dport 1719:1720 -j ACCEPT
$IPTABLES -A INPUT -p ICMP -i $INET_IFACE -j icmp_packets
$IPTABLES -A INPUT -p TCP -i $INET_IFACE -j tcp_packets
$IPTABLES -A INPUT -p UDP -i $INET_IFACE -j udpincoming_packets
 
####
# Rules for special networks not part of the Internet
####
 
$IPTABLES -A INPUT -p ALL -i $LAN_IFACE -d $LAN_BCAST_ADRESS -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LO_IP -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $LAN_IP -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LO_IFACE -s $INET_IP -j ACCEPT
$IPTABLES -A INPUT -p ALL -i $LAN_IFACE -s $LAN_IP_RANGE -j ACCEPT
$IPTABLES -A INPUT -p ALL -d $INET_IP -m state --state ESTABLISHED,RELATED \
-j ACCEPT
$IPTABLES -A INPUT -m limit --limit 3/minute --limit-burst 3 -j LOG \
--log-level DEBUG --log-prefix "IPT INPUT packet died: "
 
#############################################################################
# OUTPUT chain
#############################################################################
 
# Bad TCP packets we don't want.
 
$IPTABLES -A OUTPUT -p tcp -j bad_tcp_packets
$IPTABLES -A OUTPUT -p udp -j ACCEPT
 
####
# Special OUTPUT rules to decide which IP's to allow.
####
 
$IPTABLES -A OUTPUT -p ALL -s $LO_IP -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -s $LAN_IP -j ACCEPT
$IPTABLES -A OUTPUT -p ALL -s $INET_IP -j ACCEPT
 
####
# Log weird packets that don't match the above.
####
 
$IPTABLES -A OUTPUT -m limit --limit 3/minute --limit-burst 3 -j LOG \
--log-level DEBUG --log-prefix "IPT OUTPUT packet died: "
 
#############################################################################
# POSTROUTING chain
#############################################################################
 
 
$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -s 192.168.0.0/24 -j MASQUERADE
$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -j SNAT --to-source $INET_IP
 
#############################################################################
# PREROUTING chain
#############################################################################
 
# Bad TCP packets we don't want.
 
 
 
#############################################################################
# FORWARD chain
#############################################################################
 
####
# Accept the packets we actually want to forward
####
 
$IPTABLES -A FORWARD -i $LAN_IFACE -j ACCEPT
$IPTABLES -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -m limit --limit 3/minute --limit-burst 3 -j LOG \
--log-level DEBUG --log-prefix "IPT FORWARD packet died: "
 
####
# Bad TCP packets we don't want.
####
 
$IPTABLES -A FORWARD -p tcp -j bad_tcp_packets
 
 
 
 
echo -e "\rc.firewall version done.\n"
 
Si tu veux des compléments d'info. fait le moi savoir !
 
http://anonymity.tuxfamily.org/

Pour ton firewall, je te conseille d'installer snort.
Pour contrer un scan de ports sur ta machine, veille à installer portsentry.
 
Pour vérifier la sécurité de ton réseau, il est bon que tu installes Nessus (un utilitaire d'audit très efficace).

Tu auras des pbs de Nat sur le proto h323 (VoIP) utilisé par netmeeting notamment.
Il faut que tu recompiles le noyau après l'avoir patché, que tu désinstalles le paquetage Iptables.
Tu trouveras le patch à l'URL :
http://roeder.goe.net/~koepi/newnat.html
et la version iptables-1.2.6a à ré-installer.

Autre chose si tu est interessé, il existe des distributions spécialisées dans le genre (ipcop.org). Ca peut suffire dans un premier temps.

merci beaucoup pour votre aide !!!
 
est ce que IPTABLES est sur Mandrake 8.0 par defaut ?

en gros dans ce que j'ai compris à propos de IPTABLES, c'est que utilisé avec des scripts, cela permet de router des paquets entre le réseau local pour y diriger vers internet...
 
Mais le firewall est créé par ce sript c'est donc un firewall plus ou moins fait maison ?
 
existe t il une autre solution pour le firewall qui soit compatible avec IPTABLES ?
 
A+

La sécurité d'un réseau repose sur ce que l'on appelle des règles.
Ces règles sont définies par l'administrateur réseau en l'occurence toi.
Ces règles (de façon schématique)doivent définir ce qui doit entrer sur le réseau local en provenance du réseau internet et ce qui ne doit pas entrer.
Ces règles (de façon schématique) doivent définir ce qui doit sortir sur le réseau internet en provenance du réseau local et de la machine passerelle (NAT/firewall) et ce qui ne doit pas sortir.
Ces règles sont définies dans le script présenté plus haut et elles s'appuyent sur IPTABLES. Ces règles sont les bases indispensables de la sécurité du réseau. Elles servent à filtrer les paquets entrants et sortants selon les différents protocoles utilisés pour acheminer les données jusqu'à l'hôte de destination.
 
Pour reprendre ton expression, c'est effectivement un firewall fait maison.  
 
Snort est un outil de détection d'intrusion (IDS). Il capture le traffic réseau et le compare à une base de données. Si une attaque est détectée, l'IDS déclenchera auomatiquement des actions programmée. Ce système permet de constater des comportements anormaux sur le traffic qui circule et en cherchant ensuite des signatures d'attaques connues comme des débordements de tampons ou bien des scans de ports. Snort utilise également un langage simple et léger de description de règles qui est flexible et assez puissant.
 
Portsentry détecte les attaques de type "SCAN". Un scanner est en général employé par un administrateur réseau pour déceler des failles. Malheureusement un scanner furtif au main d'un hacker peut mettre en évidence ces mêmes trous de sécurité (cf. services tournant sur la machine). C'est ici que Portsentry intervient. Il bloque le scan et rend en quelque sorte aveugle l'attaquant.

merci pour tes complements d'info !!!
 
je suis allé acheté en presse le dernier Linux loader, je sais pas si c'est un bon mag mais dedans il parle d'une distrib qui fera apparemment l'affaire : SME elle prend 250 Mo et est dédiée à un poste serveur... est ce que ça pourrait convenir ? est ce que c'est plus simple que la solution MANDRAKE + IPTABLE ? je suis un peu perdu...
 
encore merci !

oui et non
 
par exemple mdk avec Bastille c'est simple, dans un fichier tu mets les ports à bloquer, ceux à autoriser et hop il fait les règles ( http://www.bastille-linux.org/ ) ou ( http://www.shorewall.net/ ) ou le wizard de mdk ou knetfilter ou d'autres projets : http://freshmeat.net/browse/151/?topic_id=151

oui mais quel avantage par rapport à SME ou clarkconnect ?
surtout si je n'ai pas besoin d'autre chose qu'une regle de partage de routage et de protection ?

plus de souplesse ( si ce n'est pas juste un firewall ton truc )
 
par contre si tu veux juste un firewall -> distro spécialisés, en espérant que le suivi de sécu est bien fait

UP !!!
 
En fait, personne ne connaitrait SME ou clarkconnect ?
 
A+

Un petit UP (:bounce pour ma recherche d'infos sur ClarkConnect...
 
A+