christophe Josselin wrote:
Bon, je ne vais engueuler personne, sauf Rosaire qui n'a pas encore trouv� les dix minutes n�cessaires � l'installation d'IPcop sur une vielle brouette :-DLe Samedi 1 F�vrier 2003 12:27, mailinglist a �crit :Je fais appel � votre v�cu et exp�rience dans les firewall. Suite au probl�mes du WE dernier (pas pour linux, mais on ne sait jamais) et une prise de consience de ma part, je suis en train de transformer un vieux pentium 133, 48MO ram et 450MO de DD en firewall. Mon premier reflexe a �t� de prendre une mdk snf, mais elle n'a pas assez de place sur le 450MO.Jean te conseillerait IPCOP, essaie �ventuellement de r�cup�rer un vieux DD dans une casse ou aux ench�res si tu pr�f�res la SNF. A noter aussi SME mais ca risque d'�tre juste avce 450 Mo http://www.e-smith.org/Ipcop est en cours de t�l�chargement E_smith, c'est pour tout � l'heure (merci pour le lien)Ce Firewall va dans un premier temps utiliser une connexion rtc, mais � temre doit supporter l'adsl. Compte tenu de la machine (abscence d'usb ;c))), l'adsl devrait fonctionner en ethernet; reste � trouver un FAI qui founit des adaptateur adsl ethernet (autre que wanaddo et aol), cette question fera l'objet d'un prochain troll ;c))).Aucun probl�me, ils g�rent tous le rtc, l'adsl. Si tu ach�tes le modem pas de soucis, sinon, chez Nerim le pack comprend un modem routeur ethernet + usb, d'autres doivent proposer la m�me chose.Merci � tous ceux qui vaudront bien participer � la mise en place de ce firewall
S�rieusement maintenant.
Puisque Christophe a r�cup�r� une vielle b�cane peu puissante, mais largement suffisante pour install� un firewall/proxy/routeur, on va en profiter pour rappeler certains concepts d'IPcop (ou smoothwall dont il est issu).
IPcop consid�re trois z�nes:
1. rouge, c'est la dangereuse, internet, elle est repr�sent�e par une interface modem quelconque (RTC, cable, adsl, usb, ethernet...) connect� au r�seau des r�seaux. Cette interface doit �tre compl�tement ferm�e dans le sens r�seau externe --> interne. Ensuite il suffit de "forwarder" de tout l'int�rieur --> l'ext�rieur les port TCP indispensables 21, 25, 80 et 110. Cela ce fait sur IPcop � services --> external service access
2. Orange (ou DMZ zone d�militaris�e): pour ceux qui ont besoin de fournir des services externes, accessible depuis l'internet. Cestte zone est d�finie par une interface r�seau ethernet connect�e � une machine d�di�e, un vieux P 166 avec 64 MO suffira. Il faudra faire suivre certains ports, de rouge --> orange en fonction des services offerts. Ca sera donc le 21 pour ftp, le 80 pour http, le 25 pour pop3 et le le 110 pour smtp, etc... Evidemment, on ouvre que les ceusses qui sont n�cessaires!
Cela se fait sur IPcop � services --> port forwarding
Par exemple: proto: TCP source: 80 IP destination: 192.168.69.10 destination: 80
Ici, je viens de donner l'acces au serveur WEB de la zone orange (192.168.69.xxx) � tout l'internet.
La (les) machine(s) sur le r�seaux orange devront bien entendu �tre finement param�tr�e et les daemons sensibles r�pondant aux demandes de la z�ne rouge devront �tre mis r�guli�rement � jour en fonction de la d�couverte de nouvelles failles de s�curit�.
3. Enfin la zone verte (CMZ ou zone militaris�e close): il ne doit y avoir absolument aucun port ouvert de rouge --> vert!!! C'est l� que viendront se placer les postes de travail et autre serveur interne � l'entreprise. De cette mani�re il sera impossible d'acc�der depuis internet � tes donn�es (sensibles ou non :-) )
E-smith maintenant:
S'il est possible de l'utiliser en tant que serveur *et* firewall, je ne peux que fortement le d�conseiller!
En effet, utilis� comme cela, il repr�sentera un danger potentiel de fuite puisque physiquement reli� au trois zone....
Par contre, utilis� seul sur la zone orange pour les services externe et/ou sur la zone verte comme serveur interne, c'est un vrai charme d'utilisation. Son interface WEB de param�trage est un mod�le du genre et il est vraiment tr�s ais�, m�me pour un blaireau :-) d'install� et mettre en oeuvre un service web complet et multi-domaine (serveur partag�).
Pour ceux qui doutent, mon IP actuelle est 213.19.2.237 alors � vos nmap et autres scanners :-D
--
Jean
\\\!///
-(@ @)-
----------------------------oOO--(_)--OOo----------------------------
Jean Segers Venez r�ver -----> http://www.Demoiselles.com
26, rue du Pin http://www.Sadems.com
34190 Saint Bauzille de Putois http://it.mondelinux.org
France http://www.deveze.com
Gsm 06 86 12 49 15 http://www.cyberboutic.com
Tel&Fax 04 67 73 38 30 http://www.mondelinux.org
Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";
