PDA

Afficher la version complète : [Réglé] résumé de lancement du firewall



Rorschach
20/12/2005, 03h04
Salut,

j'ai lancé le firewall via Yast, et j'ai obtenu ceci en résumé :Démarrage du pare-feu http://www.alionet.org/style_emoticons/<#EMO_DIR#>/arrow.gif Démarrer le pare-feu à l'amorçage

Zone interne http://www.alionet.org/style_emoticons/<#EMO_DIR#>/arrow.gif Aucune interface assignée à cette zone.

Zone démilitarisée http://www.alionet.org/style_emoticons/<#EMO_DIR#>/arrow.gif Aucune interface assignée à cette zone.

Zone externe http://www.alionet.org/style_emoticons/<#EMO_DIR#>/arrow.gif Interfaces Netgear FA311 / FA312 (FA311 with WoL HW) / eth-id-00:0f:b5:47:13:73

'any' Tout interface non assignée sera attribuée à cette zone.

Ouvrir services, ports et protocoles http://www.alionet.org/style_emoticons/<#EMO_DIR#>/arrow.gif La zone n'a pas de ports ouverts.est-ce que tout vous paraît normal?

Merci

offworld
20/12/2005, 11h09
iptables -L -n -v

thadrien
20/12/2005, 13h39
Démarrage du pare-feu http://www.alionet.org/style_emoticons/<#EMO_DIR#>/arrow.gif Démarrer le pare-feu à l'amorçage[/b]

Normal.

<div class='quotetop'>Citation (Rorschach @ 20/12/2005 à 2:04) <{POST_SNAPBACK}> (index.php?act=findpost&pid=68057)</div>
Zone interne http://www.alionet.org/style_emoticons/<#EMO_DIR#>/arrow.gif Aucune interface assignée à cette zone.
Zone démilitarisée http://www.alionet.org/style_emoticons/<#EMO_DIR#>/arrow.gif Aucune interface assignée à cette zone.[/b]

Normal.


<div class='quotetop'>Citation (Rorschach @ 20/12/2005 à 2:04) <{POST_SNAPBACK}> (index.php?act=findpost&pid=68057)</div>
Zone externe http://www.alionet.org/style_emoticons/<#EMO_DIR#>/arrow.gif Interfaces Netgear FA311 / FA312 (FA311 with WoL HW) / eth-id-00:0f:b5:47:13:73
'any' Tout interface non assignée sera attribuée à cette zone.[/b]

C'est tres bien.

<div class='quotetop'>Citation (Rorschach @ 20/12/2005 à 2:04) <{POST_SNAPBACK}> (index.php?act=findpost&pid=68057)</div>
Ouvrir services, ports et protocoles http://www.alionet.org/style_emoticons/<#EMO_DIR#>/arrow.gif La zone n'a pas de ports ouverts.[/b]

Il te faudra peut-être ouvrir quelques ports. Mais, ça m'a l'air normal et bien sécurisé

<div class='quotetop'>Citation (Rorschach @ 20/12/2005 à 2:04) <{POST_SNAPBACK}> (index.php?act=findpost&pid=68057)</div>
est-ce que tout vous paraît normal?[/b]

Tout est normal. Rien à signaler. Bonne config pour la sécurité!

offworld
20/12/2005, 14h40
Je trouve les configurations automatique trés peu fiable.
iptables -L -n -v serais une tres bonne solution pour deceller des failles.

Rorschach
20/12/2005, 15h01
Salut,

Merci thadrien pour la réponse très claire http://www.alionet.org/style_emoticons/<#EMO_DIR#>/wink.gif

<div class='quotetop'>Citation (offworld @ 20/12/2005 à 13:40) <{POST_SNAPBACK}> (index.php?act=findpost&pid=68104)</div>
Je trouve les configurations automatique trés peu fiable.
iptables -L -n -v serais une tres bonne solution pour deceller des failles.[/b]

Oui, je m'y attendais.
Heu, si j'ai bien compris, Iptable est bien une solution de Firewall plus efficace, mais plus complexe à mettre en place que les trois clics auxquels sont habitués les ex-windo$iens comme moi?
Désolé offworld, je vais m'y mettre plus sérieusement, mais comme je venais de me connecter, je voulais au moins qu'il y ait un minimum, d'où le firewall de yast.

Peux-tu m'en dire plus, c'est quoi iptables -L -n -v?
c'est pour tester, ou c'est pour protéger?

au passage, je précise que j'ai effectué les tests en ligne de check 1.3, de PC Flank et de shields up avec des résultats très contrastés.
pour certains tout est impec, et pour d'autres il y a des ports qui répondent, qui sont trop bavards... va falloir que je m'y colle.

offworld
20/12/2005, 15h13
Sur linux il n'existe qu'un seul firewall, netfilter.
Nefilter est un firewall intégré au kernel.
Pour dire a ce firewall ce qu'il doit faire on n'utilise un programme appelé iptables.
Quand tu configure ce firewall avec suse, il fabrique un script automatiquement qui vas créé des regles avec iptables.
La commande iptables -L -n -v vas afficher les regles utiliser.
C'est en voyant c'est regle que l'on peut evaluer une partit du niveau de securité.
Les test en ligne, teste depuis ton ip, donc ce qui teste c'est ta passerelle : le modem/router que tu as acheté.

Rorschach
20/12/2005, 16h07
OK,

ce que je prenais pour un autre firewall n'est en fait qu'un outil de configuration simplifié.
Si l'on souhaite paufiner son Firewall, il faut passer par la commande iptable.

donc j'ouvre ma console, et je tape iptable -L -n -v (ou iptable seul, ou -L -n -v seul, etc.) mais j'obtiens "command not found"

http://www.alionet.org/style_emoticons/<#EMO_DIR#>/sad.gif

thadrien
20/12/2005, 17h22
OK,

ce que je prenais pour un autre firewall n'est en fait qu'un outil de configuration simplifié.
Si l'on souhaite paufiner son Firewall, il faut passer par la commande iptable.

donc j'ouvre ma console, et je tape iptable -L -n -v (ou iptable seul, ou -L -n -v seul, etc.) mais j'obtiens "command not found"

http://www.alionet.org/style_emoticons/<#EMO_DIR#>/sad.gif[/b]
En root faut le faire.
Mais, je te le déconseille. Je te conseille plutot de configurer SuSEfirewall à la main. Edite le fichier /etc/sysconfig/SuSEfirewall2 en root.

iptables et puissant et complexe. L'interface graphique de YaST est simple mais n'a pas beaucoup d'options. Configurer SuSEfirewall à la miain est un bon compromis entre les deux.

Rorschach
20/12/2005, 23h05
En root faut le faire.[/b]
désolé...

Bon, comme j'avais commencé à potasser l'iptables, je crois que je vais continuer sur ma lancée, et je reviendrai à ta proposition si jamais je cale trop.

j'espère ne pas faire de connerie...

thadrien
21/12/2005, 11h46
<div class='quotetop'>Citation (thadrien @ 20/12/2005 à 16:22) <{POST_SNAPBACK}> (index.php?act=findpost&pid=68131)

En root faut le faire.[/b]
désolé...

Bon, comme j'avais commencé à potasser l'iptables, je crois que je vais continuer sur ma lancée, et je reviendrai à ta proposition si jamais je cale trop.

j'espère ne pas faire de connerie...
[/b][/quote]
Bonne chance!

Rorschach
21/12/2005, 23h12
Bonne chance![/b]
je sens une pointe de sarcasme... http://www.alionet.org/style_emoticons/<#EMO_DIR#>/rolleyes.gif

en fait, après avoir tourné la question dans tous ses sens, c'est quoi la différence entre éditer le fichier iptables (etc/sysconfig/) et le faire en mode console?

Je n'ai pas l'impression que ce soit plus simple dans un cas ou dans l'autre...

me trompe-je?

thadrien
22/12/2005, 13h32
<div class='quotetop'>Citation (thadrien @ 21/12/2005 à 10:46) <{POST_SNAPBACK}> (index.php?act=findpost&pid=68213)
Bonne chance![/b]
je sens une pointe de sarcasme... http://www.alionet.org/style_emoticons/<#EMO_DIR#>/rolleyes.gif

en fait, après avoir tourné la question dans tous ses sens, c'est quoi la différence entre éditer le fichier iptables (etc/sysconfig/) et le faire en mode console?

Je n'ai pas l'impression que ce soit plus simple dans un cas ou dans l'autre...

me trompe-je?
[/b][/quote]
Ce n'est pas le fichier iptables, mais le fichier de config de SuSEFirewall, une interface simplifiée à iptables...

Inutile de te dire que c'est bien plus simple...

Rorschach
22/12/2005, 19h58
Ok, merci thadrien pour ces infos.