Page 1 sur 2 12 DernièreDernière
Affiche les résultats de 1 à 10 sur 14

Sujet : [Réglé] Opensuse, et Iptable

  1. #1
    Caméléon bavard Avatar de ang1fr
    Inscrit
    mai 2006
    Distribution
    opensuse leap 42.1
    Environnement
    Gnome
    Messages
    760

    Thumbs up

    Bonjour,

    Mes premiers essais d'Iptables, je compte les faire sous OpenSuse puis après je passerai à une distribution plus "Firewall".

    Pour cela, je cherche à savoir où est le fichier où sont marqués les ordres Iptables pour le pare-feu, je ne le trouve pas ...

    Merci.

  2. #2
    Hehe, y'en a pas !

    Certains logiciels créent un fichier dans /etc (/etc/rc.firewall par exemple pour Guarddog) avec l'ensemble des règles, d'autres permettent de les exporter/importer (fwbuilder par exemple).

    Tu peux facilement "dumper" l'état actuel avec

    Code:
    sudo iptables -L
    ou

    Code:
    sudo iptables-save > rules.firewall
    (tu auras l'ensemble des règles dans un fichier texte "rules.firewall").

    Tu peux ensuite charger un fichier de règles avec :

    Code:
    sudo iptables-restore < myrules.firewall

    Je ne sais pas ce que Yast peut proposer comme interface graphique pour faire ça, mais si tu veux changer de distribution ensuite de toute façon, ça importe peu.
    "Faudrait breveter la liberté"... ($teve b. les sources de cette citation n'étant pas publiques nous ne pouvons garantir l'authenticité de son attribution, cependant les contrefacteurs seront punis)

    Debian "Squeeze" 64bits ; DebianEdu (Skolelinux) ; Ubuntu Jaunty et Karmic 64bits , Fedora11.

  3. #3
    Caméléon bavard Avatar de ang1fr
    Inscrit
    mai 2006
    Distribution
    opensuse leap 42.1
    Environnement
    Gnome
    Messages
    760

    Thumbs up

    Merci pour ces infos,

    Je suppose qu'elles doivent bien être écrites quelque part ces régles, mais si c'est dans le noyau ??? là en effet, c'est pas accessible.

    J'ai lu que dans la distribution IPCOP , il y a un fichier que l'on peut modifier.

    Est-ce que quelqu'un soit si dans Dédian c'est le même principe que Opensuse ou il y a un fichier ... :unsure: :unsure: :unsure:

    Bonne journée

  4. #4
    iptables fonctionne au sein du noyau, seuls quelques outils utilisateurs sont installés par le(s) paquet(s) iptables-* .

    Si tu veux trouver quelque chose qui ressemble à un fichier, tu trouveras quelques directives qui influencent son comportement dans /etc/sysctl.conf, sinon tente ta chance du côté de /proc/ et|ou /sys/, il est possible que par le biais de fonctions de debug ou profiling on puisse récupérer quelque chose par là. Mais de toute façon je ne vois pas ce que tu veux avoir de plus que ce que peux te donner la commande iptables. Donc le ficher avec la meilleur valeur informative doit être "man iptables"

    Dans les distributions orientées firewall il y a certainement un fichier, pour la bonne raison qu'elles doivent être livrées avec une configuration de base que "iptables-restore" charge par défaut, histoire de ne pas avoir une passoire au démarrage, et de guider l'utilisateur par des commentaires judicieux dans le fichier de règles. D'ailleurs rien ne t'empêche de récupérer un tel fichier et de le réutiliser sur n'importe quelle distribution, iptables fonctionne pareil sur toutes les distributions à noyau 2.6* je pense.
    Les options avancées de iptables se règlent à la compilation du noyau, ou pour certaines via sysctl.conf ou une option équivalente dans une entrée grub. Donc je pense que :

    Code:
    egrep -i '(iptables|netfilter|ipv)' /boot/config-$(uname -r)
    te renseignera sur la configuration du noyau, mais une meilleur solution est de lancer un xconfig ou menuconfig ou gconfig sur les sources d'un noyau 2.6* vanilla et de regarder les options disponibles, et leurs commentaires, ce qui devrait occuper une soirée facilement ! :bestbook:
    "Faudrait breveter la liberté"... ($teve b. les sources de cette citation n'étant pas publiques nous ne pouvons garantir l'authenticité de son attribution, cependant les contrefacteurs seront punis)

    Debian "Squeeze" 64bits ; DebianEdu (Skolelinux) ; Ubuntu Jaunty et Karmic 64bits , Fedora11.

  5. #5
    iptables est un outil formidable et très puissant. Personnellement, je me suis monté mon firewall perso avec, pas besoin d'une distri "orienté Firewall", personnellement, il tourne sur une Mandriva avec installation minimaliste. J'ai écrit mon script de A à Z après avoir lu diverses documentations, voici les sites qui m'ont aidé à comprendre :

    http://olivieraj.free.fr/fr/linux/informat...l/fw-03-10.html

    http://irp.nain-t.net/doku.php/130netfilter:start

    Ensuite, je dois dire qu'il a beaucoup d'heures de travail mais quel plaisir d'en comprendre le fonctionnement. Tu trouveras également une excellente base de script dans le divers de ce site : http://sid.rstack.org/index.php/Contributions#Cours

    Maintenant, l'appliquer bêtement sans comprendre ne te servira pas à grand chose ....

  6. #6
    Pour la pêche aux liens :

    http://www.justlinux.com/nhf/Securit...es_Basics.html

    http://www.debian.org/doc/manuals/securing...-firewall-setup

    http://iptables-tutorial.frozentux.net/ipt...s-tutorial.html

    C'est tout en English of curse (jeu de mots laid avec "of course" (bien sur) et "curse" (malédiction), comprend qui veut.)
    "Faudrait breveter la liberté"... ($teve b. les sources de cette citation n'étant pas publiques nous ne pouvons garantir l'authenticité de son attribution, cependant les contrefacteurs seront punis)

    Debian "Squeeze" 64bits ; DebianEdu (Skolelinux) ; Ubuntu Jaunty et Karmic 64bits , Fedora11.

  7. #7
    Grand caméléon
    Inscrit
    fvrier 2005
    Lieu
    2km à vol d'oiseau de Mickey :D
    Messages
    4 307
    Tiens, je viens justement de m'en imprimer une cinquantaine de pages pour m'y mettre un ch'ti peu ...
    dur dur de faire des choix de lecture entre le bash/script et ca, c'est déjà difficile !!!
    <blockquote>--== YoplaiT on dA DebiAN PowA ==--</blockquote>

  8. #8
    Franchement, je choisirais bash, avec des outils comme fwbuilder, shorewall, bastille, ou guarddog pour un poste personnel, il y a juste à comprendre le fonctionnement de base (un peu plus en fonction des besoins: port forwarding, dmz...) et aller faire autre chose ! On ferme tout, on ouvre juste le strict nécessaire, et on va à la pêche avec les mails système et les sorties de logcheck forwardés sur son portable !

    Alors que pour bash, il n'y a pas encore d'interfaces graphiques pour lire dans ton esprit ce que tu veux faire et te sortir le script qui tue ! Faut bosser !

    Maintenant pour la culture, fromage et dessert c'est toujours intéressant.
    "Faudrait breveter la liberté"... ($teve b. les sources de cette citation n'étant pas publiques nous ne pouvons garantir l'authenticité de son attribution, cependant les contrefacteurs seront punis)

    Debian "Squeeze" 64bits ; DebianEdu (Skolelinux) ; Ubuntu Jaunty et Karmic 64bits , Fedora11.

  9. #9
    Grand caméléon
    Inscrit
    fvrier 2005
    Lieu
    2km à vol d'oiseau de Mickey :D
    Messages
    4 307
    vu comme ca ...

    Les deux me servent pour un serveur dédié (et pour la culture fromagère aussi), c'est sympa de pouvoir automatiser avec bash, y'a pas à dire, c'est même assez marrant de n'avoir plus qu'à lancer un p'tit script au lieu de faire sans cesse les mêmes manip'.
    Par contre, iptables me semble quand même nécessaire un minimum pour ... un minimum de sécurité !
    <blockquote>--== YoplaiT on dA DebiAN PowA ==--</blockquote>

  10. #10
    Quand j'ai commencé gnu-linux, j'étais obnubilé par le pare-feu. Puis j'ai discuté avec des administrateurs de serveurs plutôt expérimentés, et il se trouve qu'une bonne partie d'entre eux ne voyaient pas l'intérêt d'un pare-feu sur une machine isolée, de plus derrière un routeur en NAT. En gros soit l'ordinateur est configuré correctement, avec juste ce qu'il faut de services qui écoutent, et un système à jour, soit on va dans le mur de toute façon... Le seul intérêt du pare-feu pour eux était de rattraper les erreurs de configuration, éventuellement, et encore car si on a besoin d'un service en écoute, par définition le pare-feu a les ports correspondant ouverts. Ça évite juste d'installer quelque chose par inadvertance (?!) qui écoute sur un port commun sans avoir été correctement configuré.
    Exemple: si on a ssh qui tourne sur une machine, le port 22 (ou un autre) sera ouvert, donc pare-feu ou pas on sera victime d'attaques brute-de-force, c'est plutôt une authentification par clé, fail2ban, logcheck ... qui seront utiles.

    Le pare-feu servait pour eux à mettre en place des règles de restrictions d'accès, de routage (nat, port-forwarding ...), sur une machine dédiées et dans le cadre d'un réseau complexe ou le comportement des utilisateurs n'est pas prédictible.

    Celà étant dit, j'ai mis ces conseils dans ma musette, et j'ai configuré mon pare-feu ! Mais j'ai bien compris le pourquoi de leurs propos et ça m'a ammené à aborder la sécurisation d'un système de manière différente. Par exemple il vaut mieux passer son temps à chrooter apache, installer suexec, mettre php hors d'état de nuire (...), que de se prendre la tête avec un pare-feu dont le port 80 est de toute façon ouvert...
    "Faudrait breveter la liberté"... ($teve b. les sources de cette citation n'étant pas publiques nous ne pouvons garantir l'authenticité de son attribution, cependant les contrefacteurs seront punis)

    Debian "Squeeze" 64bits ; DebianEdu (Skolelinux) ; Ubuntu Jaunty et Karmic 64bits , Fedora11.

Règles des messages

  • Vous ne pouvez pas créer de sujets
  • Vous ne pouvez pas répondre aux sujets
  • Vous ne pouvez pas importer de fichiers joints
  • Vous ne pouvez pas modifier vos messages
  •  
  • Les BB codes sont Activés
  • Les Smileys sont Activés
  • Le BB code [IMG] est Activé
  • Le code [VIDEO] est Activé
  • Le code HTML est Désactivé