Re: Script firewall
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Pascal Hambourg wrote: > franck a écrit : >> >> Quant aux types ICMP consideres comme RELATED, la je trouve que cela se >> complique. Il y a ce qui est appele les blind icmp attacks. Le type >> source quench est utilise pour ralentir les connexions, > > C'est bien pour cette raison que je recommande de le bloquer. > >> de meme, les >> protocol unreachable, port unreachable, et fragmentation needed peuvent >> couper une connexion. > > L'ennui c'est que si on bloque ceux-là, on risque d'avoir des problèmes. > >> Du coup, je ne c'est plus trop comment faire. On ne peut pas interdire >> tous les types ICMP. > > Je crains qu'on ne puisse faire autrement que s'en remettre à la > vérification du numéro de séquence TCP par le suivi de connexion de > Netfilter pour classer un message d'erreur ICMP comme RELATED ou > INVALID. Mais ça n'est efficace qu'avec les paquets ICMP liés à une > connexion TCP. > >> Pour ce qui est des combinaisons pour les TCP flags, je vous laisse tous >> les deux juges ; je ne m'y connais pas assez. > > Moi non plus en fait, c'est pour ça que je ne filtre pas sur ce critère, > ne voulant pas risquer de bloquer quelque chose qu'il ne faudrait pas. > > Finalement, je vais enlever le filtrage sur les TCP flags a moins que j'arrive un jour a etre certains du fonctionnement. Du cote des paquets RELATED pour la chaine INPUT, je vais interdire le type ICMP source-quench, et autoriser les autres pour le bon fonctionnement, en faisant confiance a netfilter pour la redirection des paquets en INVALID. Merci beaucoup pour les avis de chacun. - -- Franck Joncourt http://www.debian.org http://smhteam.info/wiki/ GPG server : pgpkeys.mit.edu Fingerprint : C10E D1D0 EF70 0A2A CACF 9A3C C490 534E 75C0 89FE -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.6 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFFvM70xJBTTnXAif4RAnpbAKDEbrdhlQz7IHI8iXsP75dMH4YA2wCgnSDY 9EZ1A7G8Ic8b0DLR0qbwjiY= =mjH0 -END PGP SIGNATURE- ___ Try the all-new Yahoo! Mail. "The New Version is radically easier to use" � The Wall Street Journal http://uk.docs.yahoo.com/nowyoucan.html -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Script firewall
franck a écrit : Quant aux types ICMP consideres comme RELATED, la je trouve que cela se complique. Il y a ce qui est appele les blind icmp attacks. Le type source quench est utilise pour ralentir les connexions, C'est bien pour cette raison que je recommande de le bloquer. de meme, les protocol unreachable, port unreachable, et fragmentation needed peuvent couper une connexion. L'ennui c'est que si on bloque ceux-là, on risque d'avoir des problèmes. Du coup, je ne c'est plus trop comment faire. On ne peut pas interdire tous les types ICMP. Je crains qu'on ne puisse faire autrement que s'en remettre à la vérification du numéro de séquence TCP par le suivi de connexion de Netfilter pour classer un message d'erreur ICMP comme RELATED ou INVALID. Mais ça n'est efficace qu'avec les paquets ICMP liés à une connexion TCP. Pour ce qui est des combinaisons pour les TCP flags, je vous laisse tous les deux juges ; je ne m'y connais pas assez. Moi non plus en fait, c'est pour ça que je ne filtre pas sur ce critère, ne voulant pas risquer de bloquer quelque chose qu'il ne faudrait pas. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Script firewall
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Vincent Bernat wrote: > OoO En cette fin de matinée radieuse du dimanche 28 janvier 2007, vers > 11:16, franck <[EMAIL PROTECTED]> disait: > > Il faudrait vérifier le cas de Linux, mais le source quench et le > fragmentation needed doivent venir avec un fragment du paquet > original, ce qui permet de vérifier "l'authenticité" du paquet. Ce > fragment est peut-être vérifié (à voir). Si c'est le cas, les règles > sont inutiles : si un attaquant peut intercepter tes paquets, il a > d'autres moyens plus simples de couper ta connexion :) > >> http://kerneltrap.org/node/5382 > > A priori, ce n'est donc pas supporté ou alors, récemment. Au final, je pense qu'il faut deja etre conscient des problemes possibles, car cela peut demander un peu de temps afin de palier a ca si ce n'est pas deja regle ; pour moi en tout cas. Le meilleur moyen reste de debrancher son cable reseau pour rester a l'ecart des ennuis :p! - -- Franck Joncourt http://www.debian.org http://smhteam.info/wiki/ GPG server : pgpkeys.mit.edu Fingerprint : C10E D1D0 EF70 0A2A CACF 9A3C C490 534E 75C0 89FE -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.6 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFFvKdJxJBTTnXAif4RAqMRAJ9mlFBWngruzbh1Gkqy4kpPruEmyACfUTcy Tgw9sx8IywvDdNMkPVIGqZQ= =+y7j -END PGP SIGNATURE- ___ All new Yahoo! Mail "The new Interface is stunning in its simplicity and ease of use." - PC Magazine http://uk.docs.yahoo.com/nowyoucan.html -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Script firewall
OoO En cette fin de matinée radieuse du dimanche 28 janvier 2007, vers 11:16, franck <[EMAIL PROTECTED]> disait: > Quant aux types ICMP consideres comme RELATED, la je trouve que cela se > complique. Il y a ce qui est appele les blind icmp attacks. Le type > source quench est utilise pour ralentir les connexions, de meme, les > protocol unreachable, port unreachable, et fragmentation needed peuvent > couper une connexion. Il faudrait vérifier le cas de Linux, mais le source quench et le fragmentation needed doivent venir avec un fragment du paquet original, ce qui permet de vérifier "l'authenticité" du paquet. Ce fragment est peut-être vérifié (à voir). Si c'est le cas, les règles sont inutiles : si un attaquant peut intercepter tes paquets, il a d'autres moyens plus simples de couper ta connexion :) > http://kerneltrap.org/node/5382 A priori, ce n'est donc pas supporté ou alors, récemment. -- I AM NOT THE NEW DALAI LAMA I AM NOT THE NEW DALAI LAMA I AM NOT THE NEW DALAI LAMA -+- Bart Simpson on chalkboard in episode 5F17 -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Script firewall
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Pascal Hambourg wrote: > Vincent Bernat a écrit : >> >>> le lien : http://smhteam.info/upload_wiki/firewall.tar.gz >> >> Personnellement, je ne suis pas fan du surtraitement en ce qui >> concerne les états. Bon point de traiter ce qui est --state NEW, mais >> personnellement, je ne ferai pas tout un cinéma avec ce qui est >> RELATED et ESTABLISHED (port > 1024 et certains messages ICMP). Cela >> peut t'apporter de mauvaises surprises, notamment par exemple les DNS >> qui parlent de 53 à 53 ou les serveurs de temps qui parlent de 123 à >> 123. > > D'accord avec toi au sujet de la limitation des ICMP ESTABLISHED. Si on > en reçoit un c'est qu'on l'a demandé. Par contre j'approuve la > limitation des ICMP RELATED car certains types non indispensables > (Redirect, Source Quench) peuvent servir à des attaques. Concernant la > limitation des ports en RELATED, je ne connais pas d'application qui > utilise des connexions TCP ou UDP RELATED sur des ports privilégiés. En > tout cas ça ne gêne pas les protocoles comme DNS ou NTP qui n'utilisent > que des connexions simples avec des états NEW et ESTABLISHED. > >> Pareil pour le coup de vérifier les TCP flags. > > Et certaines combinaisons comme SYN,RST ou SYN,FIN ne sont pas > strictement invalides puisqu'il y a une priorité entre flags. RST ayant > priorité sur SYN, et SYN sur FIN, SYN+RST équivaut à RST et SYN+FIN > équivaut à SYN. Or l'adage dit "Be liberal in what you accept". Les > combinaisons non standard ne peuvent affecter que des piles IP > vulnérables. Ce n'est pas le cas de Linux, mais peut-être de l'OS de > machines qui sont derrière. > > Bonjour, Pour les commentaires, je vous l'accorde, c'est pas tres explicite quand on rentre dedans. J'ai remedie a cela dans la version sur mon poste. Les ports 111, 2049 et 32765:32768 comme tu le mentionnais correspondent bien a la gestion NFS (je me suis base sur le NFS HowTo). Ensuite pour les ICMP en ESTABLISHED je suis d'accord. Vu que les seules connexions icmp considerees comme ESTABLISHED sont les echo-reply, il n'y a aucun risque. Quant aux types ICMP consideres comme RELATED, la je trouve que cela se complique. Il y a ce qui est appele les blind icmp attacks. Le type source quench est utilise pour ralentir les connexions, de meme, les protocol unreachable, port unreachable, et fragmentation needed peuvent couper une connexion. Du coup, je ne c'est plus trop comment faire. On ne peut pas interdire tous les types ICMP. Si le protocole etait inutile on le saurait. http://kerneltrap.org/node/5382 J'ai laisse destination unreachable, mais je ne sais plus trop quoi autoriser/interdire pour que cela fonctionne correctement tout en evitant au maximum les problemes mentionnes ci-dessus. Pour ce qui est des combinaisons pour les TCP flags, je vous laisse tous les deux juges ; je ne m'y connais pas assez. - -- Franck Joncourt http://www.debian.org http://smhteam.info/wiki/ GPG server : pgpkeys.mit.edu Fingerprint : C10E D1D0 EF70 0A2A CACF 9A3C C490 534E 75C0 89FE -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.6 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFFvHgFxJBTTnXAif4RApYFAJ9miwe5DtpLBspMxNVi5jLzA3Zg3wCeJZbU rnIdW2BReY/hk6fIk0PdD4I= =kovO -END PGP SIGNATURE- ___ Try the all-new Yahoo! Mail. "The New Version is radically easier to use" � The Wall Street Journal http://uk.docs.yahoo.com/nowyoucan.html -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Script firewall
Vincent Bernat a écrit : le lien : http://smhteam.info/upload_wiki/firewall.tar.gz Personnellement, je ne suis pas fan du surtraitement en ce qui concerne les états. Bon point de traiter ce qui est --state NEW, mais personnellement, je ne ferai pas tout un cinéma avec ce qui est RELATED et ESTABLISHED (port > 1024 et certains messages ICMP). Cela peut t'apporter de mauvaises surprises, notamment par exemple les DNS qui parlent de 53 à 53 ou les serveurs de temps qui parlent de 123 à 123. D'accord avec toi au sujet de la limitation des ICMP ESTABLISHED. Si on en reçoit un c'est qu'on l'a demandé. Par contre j'approuve la limitation des ICMP RELATED car certains types non indispensables (Redirect, Source Quench) peuvent servir à des attaques. Concernant la limitation des ports en RELATED, je ne connais pas d'application qui utilise des connexions TCP ou UDP RELATED sur des ports privilégiés. En tout cas ça ne gêne pas les protocoles comme DNS ou NTP qui n'utilisent que des connexions simples avec des états NEW et ESTABLISHED. Pareil pour le coup de vérifier les TCP flags. Et certaines combinaisons comme SYN,RST ou SYN,FIN ne sont pas strictement invalides puisqu'il y a une priorité entre flags. RST ayant priorité sur SYN, et SYN sur FIN, SYN+RST équivaut à RST et SYN+FIN équivaut à SYN. Or l'adage dit "Be liberal in what you accept". Les combinaisons non standard ne peuvent affecter que des piles IP vulnérables. Ce n'est pas le cas de Linux, mais peut-être de l'OS de machines qui sont derrière. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Script firewall
OoO En ce doux début de matinée du mardi 23 janvier 2007, vers 08:41, franck <[EMAIL PROTECTED]> disait: > le lien : http://smhteam.info/upload_wiki/firewall.tar.gz > Explications : [...] Je pense que le problème de ton firewall, c'est que tu documentes pas assez. Je suppose que 111, 2049, 32765:32768, c'est pour le NFS, mais tu devrais l'indiquer dans les commentaires. Personnellement, je ne suis pas fan du surtraitement en ce qui concerne les états. Bon point de traiter ce qui est --state NEW, mais personnellement, je ne ferai pas tout un cinéma avec ce qui est RELATED et ESTABLISHED (port > 1024 et certains messages ICMP). Cela peut t'apporter de mauvaises surprises, notamment par exemple les DNS qui parlent de 53 à 53 ou les serveurs de temps qui parlent de 123 à 123. Tu utilises un OS qui fait les bons choix par défaut, je lui laisserais gérer cette partie tout seul comme un grand. Pareil pour le coup de vérifier les TCP flags. Tu évites de révéler certaines informations sur ton système, mais tu rends plus complexe ton firewall. Mais bon, ça se discute. -- printk(KERN_WARNING "%s: Short circuit detected on the lobe\n", dev->name); 2.4.0-test2 /usr/src/linux/drivers/net/tokenring/lanstreamer.c -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Script firewall
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 SOUBIE Sebastien wrote: > Bonjour > > Avez-vous essayer le soft FIREWALLBUILDER qui permet de réaliser des > scripts IPTABLES sous une interface Windows. > Personnellement je le trouve très pratique. > En effet, on m'a deja parle de fwbuilder, mais j ai commence avec iptables et j'ai envie de comprendre un peu mieux le fonctionnement, et les differentes possibilites qu'il peut offrir. Mais, je pense que je vais lui donner ca chance pour une config sur mon reseau local, et voir ce que cela donne. Je ne peut pas le denigrer vu que je ne l'ai pas essaye. Mais la, j'aimerais m assurer que je n'ai pas ecris de betises, j'ai encore des ajouts a faire pour une connexion vpn, et une nouvelle interface. - -- Franck Joncourt http://www.debian.org http://smhteam.info/wiki/ GPG server : pgpkeys.mit.edu Fingerprint : C10E D1D0 EF70 0A2A CACF 9A3C C490 534E 75C0 89FE -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.6 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFFuQLFxJBTTnXAif4RAtvMAKDABvnyoVSsuTSwFwkkOA+pfdKbwwCfYEHT TZC6lzEJ4lU9pisDYgGF3H4= =SCfR -END PGP SIGNATURE- ___ Try the all-new Yahoo! Mail. "The New Version is radically easier to use" � The Wall Street Journal http://uk.docs.yahoo.com/nowyoucan.html -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Script firewall
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 franck wrote: > > Bonjour, > > le lien : http://smhteam.info/upload_wiki/firewall.tar.gz > > Explications : > C'est le script present sur mon serveur a la maison. > Mon serveur est connecte a Internet via une LiveBox (192.168.1.1) a > partir de eth0 (192.168.1.10) et au lan a partir de eth1 (192.168.0.1). > > 1/ Les services vu via sont ssh en port knocking et ftp via une > redirection de port (10021 vers 21). > 2/ Cote lan, y a du NFS, du serveur web, ftp et ssh je crois que c tout. > 3/ Le masquerading est mis en place. > > J'avais ete faire un petit tour chez plouf (y a des idees) ! et j ai > reprise l'idee de separer les differentes configurations en fichiers. > > Du coup, je me retrouve avec : > - fw_config : me permettant de definir quelques options de configuration > - fw_modules : permettant le chargement des modules iptables > - fw_proc : pour l'initialisation des fichiers presents dans /proc > - un fichier fw_main, fichier principal a lancer au demarrage du serveur > - fw_wan : gerant les regles sur eth0 > - fw_lan : gerant les regles pour l'interface du reseau local > - fw_forward_lan : pour la masqueradiing > > Y a des commentaires dans le soft. > > Autrement, question bonus :)! Quesl sont les types icmps qu'il faudrait > ne pas rejeter pour un bon fonctionnement ? > Bonjour, Je fais un petit up pour savoir si quelqu'un a jete un coup d'oeil et a des remarques. - -- Franck Joncourt http://www.debian.org http://smhteam.info/wiki/ GPG server : pgpkeys.mit.edu Fingerprint : C10E D1D0 EF70 0A2A CACF 9A3C C490 534E 75C0 89FE -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.6 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFFt+3KxJBTTnXAif4RAqZbAKDUNTqYueX1AivZ24SMsJL3f6Y2LwCfR62o PzNa4o2fIxFDUgQKnbixaoQ= =1go4 -END PGP SIGNATURE- ___ Try the all-new Yahoo! Mail. "The New Version is radically easier to use" � The Wall Street Journal http://uk.docs.yahoo.com/nowyoucan.html -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Script firewall
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Pascal Hambourg wrote: > Pourquoi pas. S'il est long, tu peux le publier sur un site web et > indiquer l'URL ici. Quelques conseils : > > - Attention au formatage, en particulier aux lignes longues que le > logiciel de courrier peut couper en deux, ce qui va gêner la lisibilité. > > - Indique le cahier des charges/spécification de ce que le script est > censé faire. Eventuellement des commentaires généreux peuvent suffire. > > Bonjour, le lien : http://smhteam.info/upload_wiki/firewall.tar.gz Explications : C'est le script present sur mon serveur a la maison. Mon serveur est connecte a Internet via une LiveBox (192.168.1.1) a partir de eth0 (192.168.1.10) et au lan a partir de eth1 (192.168.0.1). 1/ Les services vu via sont ssh en port knocking et ftp via une redirection de port (10021 vers 21). 2/ Cote lan, y a du NFS, du serveur web, ftp et ssh je crois que c tout. 3/ Le masquerading est mis en place. J'avais ete faire un petit tour chez plouf (y a des idees) ! et j ai reprise l'idee de separer les differentes configurations en fichiers. Du coup, je me retrouve avec : - - fw_config : me permettant de definir quelques options de configuration - - fw_modules : permettant le chargement des modules iptables - - fw_proc : pour l'initialisation des fichiers presents dans /proc - - un fichier fw_main, fichier principal a lancer au demarrage du serveur - - fw_wan : gerant les regles sur eth0 - - fw_lan : gerant les regles pour l'interface du reseau local - - fw_forward_lan : pour la masqueradiing Y a des commentaires dans le soft. Autrement, question bonus :)! Quesl sont les types icmps qu'il faudrait ne pas rejeter pour un bon fonctionnement ? - -- Franck Joncourt http://www.debian.org http://smhteam.info/wiki/ GPG server : pgpkeys.mit.edu Fingerprint : C10E D1D0 EF70 0A2A CACF 9A3C C490 534E 75C0 89FE -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.6 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFFtbxExJBTTnXAif4RAncDAKCjnNBblNZKTfIm+1QM7pqpSCWAEACdHKCy u5mHa1FQioIk1l++mYjxmFU= =WNKp -END PGP SIGNATURE- ___ Yahoo! Messenger - with free PC-PC calling and photo sharing. http://uk.messenger.yahoo.com -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Script firewall
Salut, franck a écrit : Avant tout je voulais savoir si je pouvais me permettre de demander aux amateurs iptables presents sur cette liste, si ils pouvaient jeter un coup d'oeil sur mon script firewall. Pourquoi pas. S'il est long, tu peux le publier sur un site web et indiquer l'URL ici. Quelques conseils : - Attention au formatage, en particulier aux lignes longues que le logiciel de courrier peut couper en deux, ce qui va gêner la lisibilité. - Indique le cahier des charges/spécification de ce que le script est censé faire. Eventuellement des commentaires généreux peuvent suffire. -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Script firewall
-BEGIN PGP SIGNED MESSAGE- Hash: SHA1 Bonsoir, Avant tout je voulais savoir si je pouvais me permettre de demander aux amateurs iptables presents sur cette liste, si ils pouvaient jeter un coup d'oeil sur mon script firewall. J'aimerais savoir ce qu'ils en pensent, et comment l'ameliorer si il est pas trop foireux. Si je peux, je renverrais un mail sur la liste, autrement j'irais faire un tour sur la liste specifique. Merci. - -- Franck Joncourt http://www.debian.org http://smhteam.info/wiki/ GPG server : pgpkeys.mit.edu Fingerprint : C10E D1D0 EF70 0A2A CACF 9A3C C490 534E 75C0 89FE -BEGIN PGP SIGNATURE- Version: GnuPG v1.4.6 (GNU/Linux) Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org iD8DBQFFtSmMxJBTTnXAif4RApkGAKC4opFEnXruhFrPHF/zUi7cSu6QUgCgvnwR 0HSltXtNm4glVUAr2YFO0cY= =0gQN -END PGP SIGNATURE- ___ All new Yahoo! Mail "The new Interface is stunning in its simplicity and ease of use." - PC Magazine http://uk.docs.yahoo.com/nowyoucan.html -- Lisez la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Script firewall au =?ISO-8859-1?Q?d=E9marrage?=
Leopold BAILLY a écrit : Alors pourquoi ne pas faire confiance à ta distribution favorite ? Bonjour et merci de la réponse ! En fait, je m'aperçoit que je suis un peu binaire : quand j'étais sous Mdk, j'utilisais ce script :-) Tu trouveras dans Debian des paquets facilement configurables, qui font la même chose et qui s'intègreront au mieux dans le reste du système. Je regarderai ! Guillaume -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Script firewall au =?iso-8859-1?q?d=E9marrage?=
guillaume <[EMAIL PROTECTED]> a écrit: > Bonjour. > > J'ai récupéré sur trustonme.net un script basé sur ip-tables > (http://www.trustonme.net/didactels/downloads/firewall) > et j'aimerais le lancer au démarrage. > Mais, bien sûr, je ne sais pas comment faire :'( > > Qui pourrait-m'aider ? > > Merci d'avance ! bonsoir, Voilà ce que j'ai mis dans /etc/network/interfaces : pre-up /etc/network/if-pre-up.d/rc.firewall.sh post-down /etc/network/if-post-down.d/rc.firewall-stop.sh -- Laurent Pour me répondre enlever le .PASDEPUB -- To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED] -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Script firewall au =?iso-8859-15?q?d=E9marrage?=
guillaume <[EMAIL PROTECTED]> writes: > Bonjour. > > J'ai récupéré sur trustonme.net un script basé sur ip-tables > (http://www.trustonme.net/didactels/downloads/firewall) > et j'aimerais le lancer au démarrage. > Mais, bien sûr, je ne sais pas comment faire :'( Alors pourquoi ne pas faire confiance à ta distribution favorite ? Tu trouveras dans Debian des paquets facilement configurables, qui font la même chose et qui s'intègreront au mieux dans le reste du système. Personnellement, j'utilise shorewall. Léo.
Re: Script firewall au =?iso-8859-1?B?ZOlt?= =?iso-8859-1?Q?arrage?=
Troumad a écrit, samedi 14 mai 2005, à 18:38 : > Jacques L'helgoualc'h a écrit : > >guillaume a écrit, samedi 14 mai 2005, à 17:30 : [citations inutiles] > #!/bin/sh [...] > # Pour simplifier une modification éventuelle des cartes réseaux > LOCAL="eth0" > NET="eth1" # J'ai préféré mettre le fichier de configuration (plus long) à part # définitions de variables DEFS="/etc/network/fw.conf" if [ -f "$DEFS" ] ; then source $DEFS else echo "$0 : fichier de configuration $DEFS manquant..." >&2 exit 1 fi version="$(uname -r)" case "$version" in 2.2.*) source /etc/init.d/fw-2.2.sh ;; 2.4.*) source /etc/init.d/fw-2.4.sh ;; *) echo "erreur de version, noyau $version" exit 1 esac > case "$1" in >start) > Ton script à voir ... >stop) > echo "Arret du mur de feu" > # On vide (flush) toutes les regle existantes > $ipt -F > $ipt -X > > # On remet la police par defaut > $ipt -P INPUT ACCEPT > $ipt -P FORWARD ACCEPT > $ipt -P OUTPUT ACCEPT $iptables -F $iptables -t nat -F $iptables -t mangle -F $iptables -X $iptables -t nat -X $iptables -t mangle -X $iptables -P INPUT DROP $iptables -P OUTPUT DROP $iptables -P FORWARD DROP $iptables -t nat -P PREROUTING ACCEPT $iptables -t nat -P POSTROUTING ACCEPT $iptables -t nat -P OUTPUT ACCEPT $iptables -A OUTPUT -o lo -j ACCEPT $iptables -A INPUT -i lo -j ACCEPT # Un bon firewall arrêté est un firewall *fermé*, # je suis laxiste, je laisse le loopback ouvert. > ;; > >restart) [...] > + le mettre dans les /etc/rcX.d : > > # ll /etc/rc1.d/ > [...] > lrwxrwxrwx 1 root root 20 avr 16 21:41 K90firewall -> /etc/init.d/firewall* > [...] > #ll /etc/rc2.d/ > [...] > lrwxrwxrwx 1 root root 20 avr 16 21:42 S10firewall -> /etc/init.d/firewall* > [...] Je préfère démarrer avant le réseau, dans rcS.d, et ne jamais l'ouvrir ; là, avec ta définition de stop), la machine serait ouverte à tous vents en mode single ... -- Jacques L'helgoualc'h -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Script firewall au =?ISO-8859-1?Q?d=E9marrage?=
Jacques L'helgoualc'h a écrit : guillaume a écrit, samedi 14 mai 2005, à 17:30 : Bonjour. bonjour, J'ai récupéré sur trustonme.net un script basé sur ip-tables (http://www.trustonme.net/didactels/downloads/firewall) et j'aimerais le lancer au démarrage. Le B.A-BA de la sécurité, c'est d'être parano : il ne faut pas faire confiance à un script quelconque sans comprendre ce qu'il fait ! Mais, bien sûr, je ne sais pas comment faire :'( Le répertoire /etc/init.d/ sert à stocker les scripts de démarrage ; ils sont ensuite appelés via les liens symboliques des répertoires /etc/rc*.d/ : rcS.d au démarrage, rc0.d pour l'arrêt, rc6 pour rebouter, les rc[1-5].d pour changer de niveau. Les liens S démarrent les scripts avec l'argument start, les K avec stop, dans l'ordre (alpha)numérique. Donc mettre ton parefeu.sh dans /etc/init.d/, le rendre exécutable, et créer un lien symbolique vers lui depuis /etc/rc.S pourrait marcher --- ça dépend du contenu du script. Idéalement, le filtrage devrait être activé avant le réseau. Merci d'avance ! de rien, hop zat elpse #!/bin/sh # ATTENTION la ligne du dessus # n'est pas un commentaire # variable (ipt) pour l'appel à l'exécutable de iptables # => tester le même script avec plusieurs version de iptables ipt=/sbin/iptables # Pour simplifier une modification éventuelle des cartes réseaux LOCAL="eth0" NET="eth1" case "$1" in start) Ton script stop) echo "Arret du mur de feu" # On vide (flush) toutes les regle existantes $ipt -F $ipt -X # On remet la police par defaut $ipt -P INPUT ACCEPT $ipt -P FORWARD ACCEPT $ipt -P OUTPUT ACCEPT ;; restart) # Le stop est inutile car le start vide aussi les chaînes et redéfinit les politiques par défaut # $0 stop # /bin/sleep 1 #/usr/bin/sleep 1 $0 start ;; + le mettre dans les /etc/rcX.d : # ll /etc/rc1.d/ [...] lrwxrwxrwx 1 root root 20 avr 16 21:41 K90firewall -> /etc/init.d/firewall* [...] #ll /etc/rc2.d/ [...] lrwxrwxrwx 1 root root 20 avr 16 21:42 S10firewall -> /etc/init.d/firewall* [...] -- Amicalement vOOotre Troumad Alias Bernard SIAUD mon site : http://troumad.free.fr : AD&D maths WEB sectes Pour la liberté http://lea-linux.org http://www.eurolinux.org/index.fr.html N'envoyez que des documents avec des formats ouverts, comme http://fr.openoffice.org -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Script firewall au =?iso-8859-1?B?ZOlt?= =?iso-8859-1?Q?arrage?=
guillaume a écrit, samedi 14 mai 2005, à 17:30 : > Bonjour. bonjour, > J'ai récupéré sur trustonme.net un script basé sur ip-tables > (http://www.trustonme.net/didactels/downloads/firewall) > et j'aimerais le lancer au démarrage. Le B.A-BA de la sécurité, c'est d'être parano : il ne faut pas faire confiance à un script quelconque sans comprendre ce qu'il fait ! > Mais, bien sûr, je ne sais pas comment faire :'( Le répertoire /etc/init.d/ sert à stocker les scripts de démarrage ; ils sont ensuite appelés via les liens symboliques des répertoires /etc/rc*.d/ : rcS.d au démarrage, rc0.d pour l'arrêt, rc6 pour rebouter, les rc[1-5].d pour changer de niveau. Les liens S démarrent les scripts avec l'argument start, les K avec stop, dans l'ordre (alpha)numérique. Donc mettre ton parefeu.sh dans /etc/init.d/, le rendre exécutable, et créer un lien symbolique vers lui depuis /etc/rc.S pourrait marcher --- ça dépend du contenu du script. Idéalement, le filtrage devrait être activé avant le réseau. > Merci d'avance ! de rien, hop zat elpse -- Jacques L'helgoualc'h -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: Script firewall au =?iso-8859-1?q?d=E9marrage?=
Le Samedi 14 Mai 2005 17:30, guillaume a écrit : > Bonjour. Salut, > J'ai récupéré sur trustonme.net un script basé sur ip-tables > (http://www.trustonme.net/didactels/downloads/firewall) > et j'aimerais le lancer au démarrage. > Mais, bien sûr, je ne sais pas comment faire :'( Installe webmin, et dans la partie système, Actions de démarrage et d'arret, tu crée une nouvelle action. > Qui pourrait-m'aider ? > > Merci d'avance ! @+, Claude
Script firewall au =?ISO-8859-1?Q?d=E9marrage?=
Bonjour. J'ai récupéré sur trustonme.net un script basé sur ip-tables (http://www.trustonme.net/didactels/downloads/firewall) et j'aimerais le lancer au démarrage. Mais, bien sûr, je ne sais pas comment faire :'( Qui pourrait-m'aider ? Merci d'avance ! Guillaume -- Mail garanti 0% Micro$oft Envoyé par Thunderbird sous Debian Sarge -- Pensez à lire la FAQ de la liste avant de poser une question : http://wiki.debian.net/?DebianFrench Pensez à rajouter le mot ``spam'' dans vos champs "From" et "Reply-To:" To UNSUBSCRIBE, email to [EMAIL PROTECTED] with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
Re: script firewall en setuid root -> insecure dependency
Le dim 31/08/2003 à 03:12, Nicolas Boisselier a écrit : > Pour infos cette méthode n'est pas "crade" et est même préférable! > > Tant que tu peux, passes les arguments sous forme de tableau: > system("ls","-1"); > Sinon passe un seul argument: > system("ls -1 | wc -l"); de la a passer un tableau avec plus de 10 elements, ca fais moche je trouve ! et coder comme ca, c'est un peu pénible ! -- Grégoire CACHET http://www.audacy.fr
Re: script firewall en setuid root -> insecure dependency
Pour infos cette méthode n'est pas "crade" et est même préférable! Tant que tu peux, passes les arguments sous forme de tableau: system("ls","-1"); Sinon passe un seul argument: system("ls -1 | wc -l"); Le Sun, Aug 31, 2003 at 02:23:02AM, Gregoire Cachet a écrit: > Le dim 31/08/2003 à 01:17, Nicolas a écrit : > > Pour t'aider en perl: perldoc -f system > > > > Tu as ainsi de la doc sur le l'utilisation d'une fonction. > > > > merci, c'est mieux que google ;-) > > bon, et bien j'ai fais la *methode super crade que je redoutais de > faire* ... j'ai séparé tous les arguments par une virgule ... et ca > marche ! > > merci a tous pour votre aide si precieuse ;-) > > -- > Grégoire CACHET > http://www.audacy.fr > > > -- > Pensez à lire la FAQ de la liste avant de poser une question : > http://savannah.nongnu.org/download/debfr-faq/html/ > > To UNSUBSCRIBE, email to [EMAIL PROTECTED] > with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED] > ---end quoted text--- -- Email: [EMAIL PROTECTED] Adr: 174 avenue Raymond Naves 31500 TOULOUSE Tel: 05 61 20 44 94
Re: script firewall en setuid root -> insecure dependency
Le dim 31/08/2003 à 01:17, Nicolas a écrit : > Pour t'aider en perl: perldoc -f system > > Tu as ainsi de la doc sur le l'utilisation d'une fonction. > merci, c'est mieux que google ;-) bon, et bien j'ai fais la *methode super crade que je redoutais de faire* ... j'ai séparé tous les arguments par une virgule ... et ca marche ! merci a tous pour votre aide si precieuse ;-) -- Grégoire CACHET http://www.audacy.fr
Re: script firewall en setuid root -> insecure dependency
Pour t'aider en perl: perldoc -f system Tu as ainsi de la doc sur le l'utilisation d'une fonction. Le Sun, Aug 31, 2003 at 12:33:03AM, Gregoire Cachet a écrit: > Le sam 30/08/2003 à 12:18, François Boisson a écrit : > > > Bonjour > > > Bonjour, > > > > > > $ENV{'PATH'} = '/bin:/usr/bin:/sbin'; > > > > puet être le /sbin dans le PATH (je n'y crois pas, cf plutôt plus bas) > > > > je viens de le retirer, il servait a rien de toute les facons, parce que > j'avais > > my $iptables = '/sbin/iptables'; > > ayant vu sur internet que cela pouvais etre source d'insecure dependency > ... > > > > > > > system($iptables." -t nat -A PREROUTING -i ppp+ -p tcp -d ".$ip." > > > --dport 4661 -j DNAT --to 192.168.1.1:4661"); > > > > Pour exécuter une commande système dans un script suid root, il est > > préférable de séparer le camooande des arguments, en clair essayes system > > $iptables, "-t nat -A PREROUTING -i ppp+ -p tcp -d ".$ip. --dport 4661 -j > > DNAT --to 192.168.1.1:4661" > > > > Deja un bon point, je viens de comprendre quelque chose : > la virgule sert a séparer la commande des arguments, je ne comprenais > pas pourquoi il y avait une virgule sur les documents sur le net, je > pensais a la concaténation, mais pourquoi pas un . ? > j'ai donc séparé la commande de ses arguments a l'aide de la virgule. > Cependant il a l'air de prendre en compte toute la fin de la chaine > comme un seul caractere, ce qui ne plait pas a iptables qui m'injurie > ... > Dois-je placer des virgules entre chaque argument ?? c'est un peu lourd > ... > D'autant plus que > > system($iptables." -P FORWARD DROP"); > > fonctionne sans pb avec le . par exemple > > Je pense donc bien qu'il s'agit de la variable $ip qui met le bordel ... > en plus quand je la remplace par sa valeur a la main, il n'y a pas de pb > > > (tiens Edonkey!) > > gagné ;-) > > > > > Ca devrait mieux marcher. > > Le mieux est de préciser le chemin complet de la commande dans $iptables. > > > > En espérant que ça marche > > > > eh non sniff ... > > merci pour ton aide ! > > -- > Grégoire CACHET > http://www.audacy.fr > > > -- > Pensez à lire la FAQ de la liste avant de poser une question : > http://savannah.nongnu.org/download/debfr-faq/html/ > > To UNSUBSCRIBE, email to [EMAIL PROTECTED] > with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED] > ---end quoted text---
Re: [perl] script firewall en setuid root -> insecure dependency
Le sam 30/08/2003 à 12:18, François Boisson a écrit : > Bonjour > Bonjour, > > > $ENV{'PATH'} = '/bin:/usr/bin:/sbin'; > > puet être le /sbin dans le PATH (je n'y crois pas, cf plutôt plus bas) > je viens de le retirer, il servait a rien de toute les facons, parce que j'avais my $iptables = '/sbin/iptables'; ayant vu sur internet que cela pouvais etre source d'insecure dependency ... > > > > system($iptables." -t nat -A PREROUTING -i ppp+ -p tcp -d ".$ip." > > --dport 4661 -j DNAT --to 192.168.1.1:4661"); > > Pour exécuter une commande système dans un script suid root, il est > préférable de séparer le camooande des arguments, en clair essayes system > $iptables, "-t nat -A PREROUTING -i ppp+ -p tcp -d ".$ip. --dport 4661 -j > DNAT --to 192.168.1.1:4661" > Deja un bon point, je viens de comprendre quelque chose : la virgule sert a séparer la commande des arguments, je ne comprenais pas pourquoi il y avait une virgule sur les documents sur le net, je pensais a la concaténation, mais pourquoi pas un . ? j'ai donc séparé la commande de ses arguments a l'aide de la virgule. Cependant il a l'air de prendre en compte toute la fin de la chaine comme un seul caractere, ce qui ne plait pas a iptables qui m'injurie ... Dois-je placer des virgules entre chaque argument ?? c'est un peu lourd ... D'autant plus que system($iptables." -P FORWARD DROP"); fonctionne sans pb avec le . par exemple Je pense donc bien qu'il s'agit de la variable $ip qui met le bordel ... en plus quand je la remplace par sa valeur a la main, il n'y a pas de pb > (tiens Edonkey!) gagné ;-) > > Ca devrait mieux marcher. > Le mieux est de préciser le chemin complet de la commande dans $iptables. > > En espérant que ça marche > eh non sniff ... merci pour ton aide ! -- Grégoire CACHET http://www.audacy.fr
Re: [perl] script firewall en setuid root -> insecure dependency
On Sat, 30 Aug 2003 09:15:10 +0200 Gregoire Cachet <[EMAIL PROTECTED]> wrote: > Bonjour, > Bonjour > $ENV{'PATH'} = '/bin:/usr/bin:/sbin'; puet être le /sbin dans le PATH (je n'y crois pas, cf plutôt plus bas) > > system($iptables." -t nat -A PREROUTING -i ppp+ -p tcp -d ".$ip." > --dport 4661 -j DNAT --to 192.168.1.1:4661"); Pour exécuter une commande système dans un script suid root, il est préférable de séparer le camooande des arguments, en clair essayes system $iptables, "-t nat -A PREROUTING -i ppp+ -p tcp -d ".$ip. --dport 4661 -j DNAT --to 192.168.1.1:4661" (tiens Edonkey!) Ca devrait mieux marcher. Le mieux est de préciser le chemin complet de la commande dans $iptables. En espérant que ça marche François Boisson
[perl] script firewall en setuid root -> insecure dependency
Bonjour, J'essaye de mettre au point un petit script en perl pour pouvoir modifier quelques regles de mon firewall sans être connecté en root Quand ppp se connecte, il place l'adresse IP que me donne mon provider dans /var/www/serveur/ip.conf, qui a les droits : -rwxr--r--1 root www-data 14 aoû 30 07:48 /var/www/serveur/ip.conf par la ligne suivante dans /etc/ppp/ip-up : echo -n $4 > /var/www/serveur/ip.conf J'ai ensuite créé un script firewall.pl avec les droits -rwsr-x--- qui appartient a root et au groupe firewall, afin que tout utilisateur du groupe firewall puisse l'executer Pour appliquer certaines regles, j'ai besoin de connaitre mon adresse IP externe, celle qui se trouve dans /var/www/serveur/ip.conf Voici ce que contient mon script firewall.pl : #! /usr/bin/perl $ENV{'PATH'} = '/bin:/usr/bin:/sbin'; delete @ENV{'IFS', 'CDPATH', 'ENV', 'BASH_ENV'}; my $ip = ""; my $l = ""; open(DESCR,"/var/www/serveur/ip.conf"); while (defined(my $l=)) {$ip.= $l;} close(DESCR); #print($ip); my $iptables = '/sbin/iptables'; # La il y a des regles qui ne font que des choses classiques # c'est ici que ca se complique : # J'ai une 'insecure dependency in system' a la ligne ci dessous. Cela # provient de la variable $ip car si je la remplace par sa valeur, je # n'ai plus de pb. system($iptables." -t nat -A PREROUTING -i ppp+ -p tcp -d ".$ip." --dport 4661 -j DNAT --to 192.168.1.1:4661"); system($iptables." -t nat -A PREROUTING -i ppp+ -p tcp -d ".$ip." --dport 4662 -j DNAT --to 192.168.1.1:4662"); system($iptables." -t nat -A PREROUTING -i ppp+ -p udp -d ".$ip." --dport 4665 -j DNAT --to 192.168.1.1:4665"); system($iptables." -A FORWARD -i ppp+ -o eth0 -p tcp -d 192.168.1.1 --dport 4661 -j ACCEPT"); system($iptables." -A FORWARD -i ppp+ -o eth0 -p tcp -d 192.168.1.1 --dport 4662 -j ACCEPT"); system($iptables." -A FORWARD -i ppp+ -o eth0 -p udp -d 192.168.1.1 --dport 4665 -j ACCEPT"); Comment faire pour ne plus avoir ce probleme lié a l'execution en setuid root ? J'ai cherché un option pour forcer perl, mais je n'ai pas trouvé ... Merci d'avance pour votre aide -- Grégoire CACHET http://www.audacy.fr