PDA

Afficher la version complète : [Réglé] SuseFirewall2 Iptables



jacqueline
02/12/2004, 15h29
Je pensais que c'était deux firewalls différents, qqun m'a dit ici que SuseFirewall2 marchait avec Iptables.. mais je n'arrive pas à comprendre comment les deux s'imbriquent.
J'ai fait la liste des fichiers des deux.. J'ai lu les docs.....

- Est ce que Susefirewall2, est juste un configurateur d'iptables.. (je ne retrouve pas mes billes avec les tuto d'iptables, les fichiers de règles )

- Est ce que SuseFirewall2 contient les règles et que c'est /usr/bin/iptables qui, une fois lancé, applique celles du fichier de conf de susefirewall2 ?

Juste un petit coup de main pour démarrer ? merci

Jacqueline.

Desteros
03/12/2004, 18h05
Pas mal cette question cela serait sympas d'expliquer si possible priévement la différence si cela ne dérange pas biensur http://www.alionet.org/style_emoticons/<#EMO_DIR#>/tongue.gif

jacqueline
03/12/2004, 19h18
Génial ! Génial ! Génial ! Je viens de trouver vingt pages sur le principe du firewall suse dans ma doc en français de la boite verte... et avec des dessins en plus. C'est vrai qu'on a plus l'habitude de ressortir le bouquin de la boite, habitués à avoir toute la doc en ligne..

Première phrase :

<div class='quotetop'>Citation </div>
Suse firewall2 est un script qui convertit les variables* de : /etc/sysconfig/susfirewall2 en règles pour iptables..*[/b]

Et bien voilà ! Des jours que je cherche. C'est pour ça que je ne comprenais rien dans ces "règles" en lisant ce fichier , par rapport aux tutos d'iptables....

C'est pareil pour "squid".. C'est forcément une nana qui a écrit la doc...

La pochaine fois que je vois mon libraire... http://www.alionet.org/style_emoticons/<#EMO_DIR#>/thumbsup.gif http://www.alionet.org/style_emoticons/<#EMO_DIR#>/clap_1.gif voir plus si sa femme n'est pas là ( lol !)

On avance... Merci le bouquin en français, parce que déjà que le firewall, c'est pas simple...

Je pourrais recopier très fidèlement quelques passages pour ceusses qui auraient besoin de la doc en français, j'ai le temps ! et puis parce que vous êtes sympas...

Jacqueline.

Mystico
03/12/2004, 19h27
ouais ca m'interesserait bien ces quelques passages ... chose dont je te serais gré et très reconnaissant.

boliv@r
03/12/2004, 20h18
<div class='quotetop'>Citation </div>
et puis parce que vous êtes sympas...[/b]

... et parce qu'on le mérite bien ! http://www.alionet.org/style_emoticons/<#EMO_DIR#>/tongue.gif

chamaeleo
03/12/2004, 20h51
Originally posted by boliv@r@vendredi 03 décembre 2004 à 20:18
<div class='quotetop'>Citation
et puis parce que vous êtes sympas...

... et parce qu'on le mérite bien ! http://www.alionet.org/style_emoticons/<#EMO_DIR#>/tongue.gif
<div align='right'><{POST_SNAPBACK}> (index.php?act=findpost&pid=9861)</div>
[/b][/quote]

Ah ça c'est bien vrai http://www.alionet.org/style_emoticons/<#EMO_DIR#>/biggrin.gif

jacqueline
04/12/2004, 02h31
Et parce que je le vaux bien... lol real ! mdr ....

Desteros
04/12/2004, 09h30
Heu juste une sugestion au lieu de t'embeter quand à la réecriture des pages tu pourrais les scanner c'est peut etre mieux http://www.alionet.org/style_emoticons/<#EMO_DIR#>/tongue.gif

jacqueline
04/12/2004, 09h46
Originally posted by Desteros@samedi 04 décembre 2004 à 09:30
Heu juste une sugestion au lieu de t'embeter quand à la réecriture des pages tu pourrais les scanner c'est peut etre mieux http://www.alionet.org/style_emoticons/<#EMO_DIR#>/tongue.gif
<div align='right'><{POST_SNAPBACK}> (index.php?act=findpost&pid=9876)[/quote]

Le livre est trop épais, pour passer correctement..

jacqueline
04/12/2004, 10h34
Chapitre 27 SECURITE sous LINUX

27.1 Mascarade et pare feu

27.1.1 Filtrage de paquets avec iptables

Netfilter et iptables sont chargés de filtrer, de modifier les paquets réseau.

Ils peuvent aussi traduire les adresses réseau ( NAT : Network Adress Translation ) de ces paquets.

Les critères de filtrage , ainsi que les actionscorrespondantes sont enregitrées dans des chaînes et traités dans l'ordre dès qu'un paquet réseau arrive.

Les chaînes de règles à traiter sont enregistrées dans des tables.

La commande iptables a pour mission de traiter ces tables et ces chaînes de règles.

Linux dispose de trois tables pour les différentes fonctions d'un filtre de paquets :

filter La plupart des règles se trouvent dans cette table. puisque le filtrage de paquets proprement dit y est défini. Les règles concernant l'admission ACCEPT et l'abandon DROP des paquets y figurent.

nat La modifiaction des adresses sources et cibles des paquets est définie ici. la masacrade dont vous vous servez pour la connection d'un petit réseau privé à l'inetrent est un cas particulier de NAT.

mangle les valeurs contenues dans l'entêt de l'IP peuvent être manipulées à l'aide des règles fixées ici ( type de service).

Dans les tables citées, il ya plusieurs chaînes prédéfinies par lesquelles les paquets doivent passer.

PREROUTING Cette chaîne concerne les paquets qui viennet d'arriver au système .

INPUT Cette chaîne concerne les paquets qui sont destinés à des processus propres au système

FORWARD Cette chaîne concerne simplement les paquets qui sont simplement routés à travers le système.

OUTPUT Cette chaîne concerne les paquets qui ont été générés dans le système lui même.

POSTROUTING Cette chaîne concerne tous les paquets qui quittent le système.

Se reporter au synoptique figure 27.1 du guide de l'administrateur.

Pour la clarté de l'exposé , les tables sont groupées par chaînes, bien que dans la réalité, les chaînes soient organisées à l'intérieur des tables.

Dans le cas le plus simple : un paquet qui est destiné au sytème lui même arrive sur l'interface eth0 du système. Ce paquet est d'abord dirigé dans la chaîne PREROUTING de la table mangle, puis dans la chaîne PREROUTING de la table nat. L'étape de routage correspondante permet d'établir que le paquet est est destiné à un processus dans le système lui même. Après être passé par la chaîne INPUT des deux tables mangle et filter, le paquet arrive à son lieu de destination, à en supposant que les règles de filtrage dans la table ne l'en empêche pas.

jacqueline
04/12/2004, 10h38
27.1.2 Principe de base de la mascarade


Je recopierais ce chapitre après, son contenu n'est pas directement lié au firewall

jacqueline
04/12/2004, 10h40
27.1.3 principes de base du pare-feu

Le terme pare-feu regroupe la notion très répandue d'un mécanisme qui relie deux réseaux entre eux, mais en contrôlant le traffic autant que possible.

Pour le pare-feu type que nous présentons ici, il serait en fait plus correct de parler de filtre de paquets.

Un filtre de paquets régule le passage au moyen de critères tels que le protocole, le port et l' adresse IP.

De cette manière vous pouvez intercepter des paquets qui, en raison de leur adressage, ne devraient pas s'infiltrer dans votre réseau.

Si vous souhaitez autoriser les accès à votre serveur Web, vous devez ouvrir le port correspondant. Le contenu de ces paquets, s'ils sont adressés correctement ( donc avec votre serveur web comme cible), n'est pas contrôlé.

Le paquet pourrait très bien contenir une attaque contre un programme CGI de votre serveur et votre filter de paquets , le laissera passer

Une structure plus efficace ( mais aussi plus complexe ) consiste à combiner plusieurs types : un filtre de paquets avec des passerelles applicatives ou des serveurs mandataires supplémentaires.

Le filtre de paquets rejette les paquets qui sont envoyés vers des ports non ouverts. Seuls les paquets destinés à une passerelle applicative doivent pouvoir être autorisés à passer.

Ce serveur mandataire fonctionne alors comme s'il s'agissait du propre interlocuteur du serveur qui établit une connection avec nous.

En ce sens , un tel serveur peut être considéré comme une machine de mascarde au niveau du protocole de chaque application.

Un exemple de ce type de serveur mandataire est SQUID , un serveur mandataire HTTP, pour lequel vous devez configurer votre navigateur de manière à ce que les demandes de pages HTML, soient d'abord enregistrées dans la mémoire du serveur mandataire et que, seulement si la page en question n'a pas à y être trouvée, ces demandes soient envoyées sur l'Internet.

SuSe proxy-suite ( paquetage proxy-suite) contient en outre un serveur mandataire pour le protocole FTP.
...

Nous souhaitons nous concentrer sur le paquetage "filtre de paquets" de SUSE LINUX. Pour obtenir plus d'informations, ainsi que d'autres liens à propos des pare-feu, consultez le document Firewall-HOWTO ( en anglais ) contenu dans le paquetage howto. Pour le lire utilisez la commande : less /usr/share/doc/en/Firewall-HOWTO.gz , si ce paquetage est installé.

<div class='quotetop'>Citation </div>
*

Classique avec Linux, on croit répondre à une question, on en découvre dix autres...

En clair* ça veut dire qu'un firewall n'est pas suffisant , si on installe un serveur HTTP* ou un serveur FTP ?

Et si on installe ni l'un ni l'autre est ce que le firewall est suffisant ? ( il y a bien d'autres services qui peuvent être attaqués ? )

Je tombe des nues...

J'ai cru comprendre* que si on passe par un proxy, si qqun interroge* les pages de notre serveur, il n'aura accès qu'aux données des pages HTML* ( ou au fichier à transmettre* pour FTP ) transférées* dans* le proxy. Il ne pourrait donc* pas attaquer* les autres fonctions vitales du serveur parce qu'elles sont* sous une autre IP locale sur une autre machine.. et donc cachées par le proxy. C'est ça ?* Le proxy* ne fait rien d'autre apparemment.

En résumé, si qqun a besoin d'une page ( d'un plat..* ) le proxy lui répondrait : " attends , je vais te la chercher", mais la personne n'a pas accès aux cuisines....*

On nous explique toujours le proxy dans le sens où nous on interroge un site, mais jamais dans l'autre...

Mais je ne vois pas comment ,* dans le principe, le proxy* nous protégerait* si tout est dans le même ordi...

Si je comprend à peu près comment fonctionne un réseau, je butte toujours sur* la notion de réseau local dans le cas d'une seul machine. J'ai vu qqpart une Ip locale.. On a tous la même... lol !

Dans la config d'Apache ( assez pointue et tout aussi importante* ) on ne peut bien donner accès qu'aux pages du site, et pas aux répertoires des scripts et autres choses, si on ne s'est pas planté....
[/b]

jacqueline
04/12/2004, 10h48
27.1.4 SuSEfirewall2





Configuration avec Yast

jacqueline
04/12/2004, 10h52
27.1.4 SuSEfirewall2 ( suite)





Configuration manuelle












Juste six pages à recopier dans ces posts...

doomwatcher
28/12/2006, 10h33
<div class='quotetop'>Citation </div>
Si je comprend à peu près comment fonctionne un réseau, je butte toujours sur la notion de réseau local dans le cas d'une seul machine. J'ai vu qqpart une Ip locale.. On a tous la même... lol ![/b]

Si tu parles de 127.0.0.1 c'est normal.. c'est ce qu'on appelle la boucle locale (loopback en anglais). http://www.alionet.org/style_emoticons/<#EMO_DIR#>/smile.gif

Et pour avoir un réseau il faut au minimum deux machines reliées entre-elles evidement... http://www.alionet.org/style_emoticons/<#EMO_DIR#>/rolleyes.gif

tyrtamos
28/12/2006, 11h33
Bonjour,

C'est un sujet que je ne connais pas bien parce que mon routeur s'en débrouille jusqu'à présent, mais ça m'interesse.

Par contre, vous pouvez encore consulter le manuel de la suse 10.1 en français, c'est bien expliqué:

ftp://ftp.gwdg.de/pub/opensuse/distributi...-source/docu/fr (ftp://ftp.gwdg.de/pub/opensuse/distribution/SL-10.1/inst-source/docu/fr)

Tyrtamos