Le sam 16/08/2003 � 09:07, Troumad a �crit : > David Robert a �crit : > > >Bonjour � tous, > >j'essaie depuis tout �l'heure (pour ne pas dire quelques heures) de > >configurer Shorewall sur ma Mandrake 9.1. > > > >Je suis arriv� � qqch d'� peu pr�s correct. > >voci les contenus de mes fichiers rules et policy : > > > >Fichier Policy : > >...>############################################################################### > >#SOURCE DEST POLICY LOG LEVEL LIMIT:BURST > >#fw net ACCEPT > >net all DROP info > >all all REJECT info > >#LAST LINE -- ADD YOUR ENTRIES ABOVE THIS LINE -- DO NOT REMOVE > > > Pourquoi as-tu mis une fois drop et l'autre fois reject? J'avais pris le fichier de configuration d'une machine simple avec la doc de shorewall livr�e avec la Mdk 9.1. Et c tout. Mais le fait de laisser REJECT entre all et all n'est pas g�nant car je ne suis pas en r�seau, sauf pour l'internet l� o� j'ai mis DROP. Que les ports soient visibles que de moi cela ne me d�range pas trop :-). > Drop fait comme s'il n'y a pas de PC � l'adresse donn�e alors que Reject > signale que le port est ferm�. > > >Fichier rules : > >... > >############################################################################## > >#ACTION SOURCE DEST PROTO DEST SOURCE ORIGINAL > ># PORT PORT(S) DEST > >ACCEPT fw net udp 53 > >ACCEPT fw net tcp smtp > >ACCEPT net fw tcp pop3 > >ACCEPT fw net tcp pop3 > >ACCEPT fw net tcp 80,443 > >ACCEPT fw net tcp 21 > >ACCEPT fw net udp 33434:33464 > >DROP net fw tcp 113 > >#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE > > > > > >Dans "policy" j'ai mis d�lib�r�ment en commentaire la premi�re ligne > >pour contr�ler au mieu ce qui va de ma machine vers l'internet. c plus > >gal�re � configurer mais c plus sur. > > > J'aurais aim� plus de commentaire sur les choses que tu as gard� > ouvertes de fw vers net! OK : a) accept fw net udp 53 : c'est pour la r�solution des noms (DNS) : comme j'ai tout bloqu� vers le net, il me faut r�soudre ces fichus noms, sinon il faut que je connaisse chaque adresse ip de toutes les machines du net :-(. Si tu as un DNS client, je crois que c'est TCP et le port 53 qu'il faut ajouter!
b) accept fw net tcp smtp : c'est pour l'envoie de courriel vers l'internet. c) accept net fw tcp pop3 et accept fw net tcp pop3 : c'est pour la r�cup�ration de mes courriels. Oui mon FAI ne me propose que du POP3. d) accept fw net tcp 80,443 : c'est pour faire du web en http et https e) accept fw net tcp 21 : c'est pour pouvoir faire du FTP. Je ne sais pas s'il faut que j'ouvre le port 20 aussi. A voir en test mais j'en fait rarement. f) accept fw net udp 33434:33464 : c'est pour pouvoir faire du traceroute avec un maximum de 30 sauts. g) drop net fw tcp 113 : c'est pour bloquer le port auth (ident de qqch) qui nromalement n'est plus utilis�. A essayer et � v�rifier que cela ne pertube pas ta messagerie et ta navigation internet. Apprement c'est pas le cas pour moi. Je l'ai aussi ferm� car il �tait dans le m�me �tat que le port pop3 (110) sur le site ShieldsUP. Mais je ne peux pas faire la m�me chose pour le port 110 (pop3) sinon je ne pourrais plus r�cup�rer mes courriels. > > >Ce que je ne comprends pas c'est que j'ai �t� oblig� de mettre les deux > >lignes concernant les ports "pop3" pour que je puisse avoir mes mails ! > >Bon c� fonctionne maintenant. > > > Tu comuniques peut-�tre via le port pop3 avec ton serveur de mail! OK ! mais je me suis mal exprim�. Ce que je voulais dire c'est que je ne comprends pas pourquoi sur le site ShieldsUP ce port (110) appara�t clos et visible alors que le port smtp ne l'appara�t pas ? est-ce que c'est du fait de la ligne "accept net fw tcp 110" ? STOP !!!! : je viens de r�pondre � moi m�me :-). Il faut enlever cette ligne justement ! celle "accept net fw tcp 110" qui est inutile pour la r�cup�ration des ses courriels en POP3, la premi�re suffisait. Du co�t sur ShieldsUP tout est correct concernant les ports les plus courants. Merci Troumad, mais il ne faut plus faire certaines choses � 02h00 du matin :-). > > > > Met DROP � la place de reject dans Policy et reteste. > Puis Reject � l place de Drop juste pour tester. cela n'avait rien chang�, cf ma remarque plus haut. > > > >Cdlt, David. > > > > >
Vous souhaitez acquerir votre Pack ou des Services MandrakeSoft? Rendez-vous sur "http://www.mandrakestore.com";. Foire Aux Questions de la liste : http://mdk.mondelinux.org
