Bonsoir � tous,
Tant que je gagne, je joue :-))
Comme d�j� dit, j'ai tent� d'utiliser Bastille (la version du CD
puisqu'il n'accepte pas que j'installe la version 1.3) afin de param�trer
enfin le firewall de mon Linux Mandrake 8.2, sans quoi je ne peux pas me
permettre de surfer toutes portes ouvertes. ;-)
J'ai tent� de r�pondre au mieux � chacune des questions du
InteractiveBastille bien que je sois assez loin de tout comprendre, et
lorsque je le lance par /etc/rc.d/init.d/bastille-firewall start, j'ai
quelques soucis.
Tout d'abord, je suis incapable d'avoir une quelconque activit� sur le
net (smtp, pop, http etc...)
Ensuite, les autres PC de mon petit r�seau local n'ont plus acc�s aux
ressources de mon poste (login, imprimantes etc...). C'est clair que dans
ces conditions, je suis bien prot�g�, aucune intrusion possible (quoi que
!..)
C'est �vident que je le configure mal, mais malgr� une multitude de
combinaisons essay�es, je ne parviens � aucun r�sultat. Et d�s que je fais
/etc/rc.d/init.d/bastille-firewall stop, tout redevient normal, � part que
je ne suis plus du tout prot�g�.
J'ai bien essay� de lire pas mal d'articles sur le sujet, mais c'est
en g�n�ral un peu trop abstrait pour moi :-).
De plus, j'ai bien compris que tout est question de r�gles iptables,
mais je ne sais m�me pas o� sont stock�es ces r�gles. Il n'y a pas un
fichier qui les conserve ?
Ma config est relativement simple :
1 poste avec Mandrake 8.2 qui doit servir de passerelle, IP fixe
192.168.0.1 / 255.255.255.0, samba correctement param�tr�. R�seau
classique avec cartes realtek, 1 par poste. Connexion internet RTC.
2 postes sous Windows 95, IP fixes 192.168.0.2 et 192.168.0.3 /
255.255.255.0. passerelle indiqu�e 192.168.0.1, DNS (celles de Wanadoo)
193.252.19.3 et 193.252.19.4.
A noter que tout fonctionne correctement sous Windows, autant XP que 98
sur la passerelle.
Je me permet d'indiquer ci-dessous les options retenues lors du
param�trage, et conserv�es dans /etc/Bastille/bastille-firewall.cfg. J'ai
souvent conserv� les options propos�es par d�faut, ne comprenant pas
toujours le lien avec ma config.
(� priori rien de confidentiel l� dedans)
# /etc/bastille-firewall.cfg
DNS_SERVERS="193.252.19.3/255.255.255.255 193.252.19.4/255.255.255.255"
TRUSTED_IFACES="eth0"
PUBLIC_IFACES="ppp+ slip+"
INTERNAL_IFACES="eth0"
TCP_AUDIT_SERVICES="telnet ftp imap pop3 finger sunrpc exec login
linuxconf ssh"
UDP_AUDIT_SERVICES="31337"
ICMP_AUDIT_TYPES="echo-request"
TCP_PUBLIC_SERVICES=""
UDP_PUBLIC_SERVICES=""
TCP_INTERNAL_SERVICES="smtp imap pop3 login"
UDP_INTERNAL_SERVICES=""
FORCE_PASV_FTP="N"
TCP_BLOCKED_SERVICES="2049 2065:2090 6000:6020 7100"
UDP_BLOCKED_SERVICES="2049 6770"
ICMP_ALLOWED_TYPES="destination-unreachable echo-reply time-exceeded"
ENABLE_SRC_ADDR_VERIFY="Y"
IP_MASQ_NETWORK="192.168.0.0/255.255.255.0"
IP_MASQ_MODULES="ftp raudio vdolive"
REJECT_METHOD="DENY"
DHCP_IFACES=""
NTP_SERVERS="ntp1.tuxfamily.net ntp2.tuxfamily.net"
ICMP_OUTBOUND_DISABLED_TYPES="destination-unreachable time-exceeded"
LOG_FAILURES="N" # do not log blocked packets
IPTABLES_LOG_LEVEL="1" # define the log level for audited
ALLOW_FRAGMENTS="Y" # old behavior
DROP_SMB_NAT_BCAST="Y" # drop those packets
J'ai relev� ce message dans certains fichiers log, au moment du probl�me
mais c'est vraiment du chinois pour moi (pardon, je voulais dire du
Kor�en, par les temps qui courrent :-) ):
May 10 19:26:37 KanelXP kernel: INPUT DROP 13 IN=lo OUT=
MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=127.0.0.1 DST=127.0.0.1
LEN=84 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=974 DPT=111 LEN=64
Je vous remercie d�j� de m'avoir lu, et d'avance de me venir en aide.
Christophe PEREZ
Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft?
Rendez-vous sur "http://www.mandrakestore.com";
