Bonjour, L'architecture decrite par Jean Segers est selon moi, tres bonne, ainsi que la politique par defaut de tout droper puis ouvrir si reellement necessaire. Le truc c'est qu'il faut qu'il n'y ait aucun processus inutile a tourner dessus. Pour ma part, j'avais essaye Iptables avec une MDK 8.0 depouillee, puis OpenBSD 2.9 et Ipfilter: Open est peut etre plus simple a configurer comme firewall car il y a moins de chose a retirer / fermer / verifier etc .... Mais bon c'est un avis tres personnel, sur la methode de filtrage, ca se vaut a peu pres, quoique qu'il parait que Ipfilter est plus complet, mais cela concerne essentiellement les question de QOS (qualite de service), et je n'ai pas eu, a ce jour, a l'exploiter. Important, selon moi: la gestion des logs. Leur analyse est cruciale pour eventuellement remedier a une faille. Pour ce qui est de la machine que l'on veut dedier a cela, effectivement, un petit truc est suffisant: experiences sur un P90 et un K6-233
Bonne soiree, Bertrand Le Mercredi 13 F�vrier 2002 10:12, vous avez �crit : > Didier NOACK wrote: > > > Merci pour ces conseils Bertrand, > > > > Cette nuit avec Telnet et FTP ferm�s, et juste ssh d'actif, je n'ai eu > > aucune tentative. Cela dit, �a va peut-�tre pas se reproduire toutes > > les nuits !! > > > > Je reste cool en pensant � une tentative carnavalesque :)) > > > > N�anmoins, je vais commencer s�rieusement � rechercher des liens > > traitants de ce genres de protections (soft et hard) bien que la > > solution d'une machine d�di�e me plaise un peu plus. > > > > Tout avis ou retour d'exp�rience est bienvenue. > > > > Merci encore, > > Cordialement > > > > > > > Moi aussi je suis connect� 24/24, mais en RTC avec abonnement AOL > illimit�. Je ne suis pas trop stress� par des attaques car wget > t�l�chargeant 24/24 ne laisse que tr�s peu de bande passante libre. > > Ceci �tant dit, j'ai mont� pour ma connection un routeur/firewall/proxy > sur une vielle machine achet�e d'occase dans une casse pour 400 FF: > Compaq Deskpro 2000 P166 - 32 MO - HD 850 MO - 2 cartes r�seau - modem > externe. > L� dessus, est install�e une MDK 8.1 (besoin du noyau 2.4.x pour > pengaol) minimale. J'ai r�serv� une swap de 128 MO, mais il est rare que > plus de 16 MO soit utilis�. > > Il y a deux cartes r�seau car deux zones distintes. > > ETH0 --> MZ (zone militaris�e) c'est � dire le r�seau local, avec le > serveur (E-smith 5.0) et les postes de travail. Comme son nom l'indique, > cette zone est totalement ferm�e sur l'ext�rieur tout en ayant acc�s � > internet (of course) ainsi qu'a la DMZ. > > ETH1 --> DMZ (z�ne d�militaris�e) dans laquelle se trouve les serveurs > (WEB, MAIL, FTP, FAX, etc) accessibles aussi bien depuis le r�seau > interne que depuis l'internet. > > Le tout est g�r� par des r�gles firewall IPTABLES doubl� du proxy SQUID > sur le Compaq. Par d�faut, toutes les r�gles iptables sont "DROP", les > ports �tant ensuite ouverts de mani�re s�lective. Tout est logu� et > jusqu'a pr�sent, j'ai pas encore remarqu� le moindre probl�me. > > > Evidemment, toute cette machinerie ne me sert qu'� fin de tests et mises > au point de solutions pour entreprises, car avec une liaison RTC... > > -- > Jean
Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
