Le mercredi 10 avril 2002, � 10:31, Tony Schonfeld �crivait : > On Wed, Apr 10, 2002 at 10:32:51AM +0200, Dodger Web wrote: > > Ma config est la suivante: > > > > LAN: 192.168.0.0/24 > > GW: 192.168.0.3/24 > > > > > > LAN ------ eth1 ----- GW ----eth0----- modem ADSL -------- INET > > ^ > > Il y a une chose que je ne m'explique pas, ma machine GW reste > > expos�e a 100% avec mes regles ipchains (voir ci dessous) > > et ce comme me le montre un scan de port ou des tentatives de ssh > > depuis l'exterieur.... > > > > Pouvez vous m'indiquer ce que je fais mal (pas ?)
Beaucoup de choses... > > # Deny all input on ifnet > > $ipchains -A input -s 0.0.0.0/0 -d 192.168.0.2 -p all -j DENY -i > > eth0 �a ne correspond � aucun paquet, donc �a n'arr�tera rien. 1) Aucun datagramme provenant d'Internet ne peut avoir comme destination un r�seau priv� : il ne sera pas rout�. C'est le principe m�me des r�seaux priv�s. 2) Ton interface ADSL, c'est ppp0 et l'adresse qui va avec, pas eth0. Toutes les r�gles qui suivent sont inutiles puisque tu as une politique ACCEPT par d�faut, ce qui est <font size="80">_MAL_</font>. Et elles ne servent � rien de toute fa�on pour les raisons �voqu�es ci-dessus. > Selon Chacun la politique de securite sera tres differente, > en principe un bon debut est de dire j'interdit tout: Je serai plus intransigeant que Tony sur ce point. Si on ne le fait, politique d'ins�curit� est un terme plus ad�quat. > Ensuite tu vas definir les packets entrants, sortants, forwardes, masques > selon les adresses, protocoles et les ports. > > exemple: Ce n'est qu'un exemple. Par piti� ne le reprends pas tel quel sans savoir ce que tu fais. � titre indicatif, les ports 6000 � 6010 sont utilis�s par X, un proxy tra�ne souvent en 8080, etc. > Comme je le disais hier j'ai debute avec des scripts a la main, tres long > et fastidieux, mais avec Mason tu peux creer un firewall en 5 minutes > qui marche bien. Je ne connais pas Mason, mais quelque soit l'outil utilis�, �a ne te dispense pas de lire le Ipchains-Howto. Quand tu l'auras lu 3 ou 4 fois et que tu es s�r d'avoir tout compris, relis-le. > Bonne chance Bonne lecture :-) -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]

