(Courriels de diversion: <perplexe@deputee-ravioli.com> <humaniseront@circuleriez-etalonnerais.com> <cornets@subventionnes-pouvoirs.com> <contrediraient@inauguriez-voguer.com> <brassa@desceller-circulant.com> <alleguerions@ananas-desapprouveras.com> <sabotages@venererons-episodique.com> <reussites@parfumeuse-triomphes.com> <debroussaillons@medication-avertirions.com> <tapoterons@ecourterions-enclencheraient.com> )
Pour commencer, je m'exscuse par avance pour les fautes ... c'est une
honte pour moi ... je sais pas faire des phrases correctes...je vais
essayé...
Je vais tout vous expliquer:
_Commencons par la structure
_IP fixe Free 82.x.x.x >* Freebox* > eth1 > *Serveur Linux Mandrake
Commnity 10.1* > eth0 192.168.1.1 >* LAN *> 192.168.1.x
Sécurité : standard
_Le but dans l'ordre:
_Accès internet par tout le monde OK
Samba OK
*FTP OK de LAN vers Serveur
SSh OK de LAN vers Serveur
VPN (galere il est pas installé le pptp et je cherche un rpm valide...)*
Comme vous pouvez le constater FTP et SSH ne sont accessibles que de LAN
vers serveur ce qui n'est pas le but (WAN vers Serveur en fait)
_Je vais vous donner mon firewall conf:
_*/#!/bin/sh
IPTABLES=/sbin/iptables
LAN=eth0
ADSL=eth1
#On lance ce qu'il nous faut : les modules (pour le ftp) et le
forwarding (pour le partage)
echo 1 > /proc/sys/net/ipv4/ip_forward
modprobe ip_tables
modprobe ip_nat_ftp
modprobe iptable_filter
modprobe iptable_mangle
modprobe iptable_nat
modprobe ip_conntrack_ftp
modprobe ip_conntrack
#On vide les règles et on met par défault
$IPTABLES -F
$IPTABLES -X
$IPTABLES -t nat -F
$IPTABLES -t nat -X
$IPTABLES -t mangle -F
$IPTABLES -t mangle -X
########## PROTECTION CONTRE LES ATTAQUES
#Protection contre l'echo en broadcast
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_broadcasts
# Protection contre les mauvais messages d'erreur
echo 1 > /proc/sys/net/ipv4/icmp_ignore_bogus_error_responses
#Protection contre l'IP spoofing
for f in /proc/sys/net/ipv4/conf/*/rp_filter; do
echo 1 > $f
done
#Protection contre l'acceptation des messages ICMP redirigés
for f in /proc/sys/net/ipv4/conf/*/accept_source_route; do
echo 0 > $f
done
#protection contre le syn-flood
iptables -A FORWARD -p TCP --syn -m limit --limit 1/s -j ACCEPT
#protection contre le test de port furtif
iptables -A FORWARD -p TCP --tcp-flags SYN,ACK,FIN,RST RST -m limit
--limit 1/s -j ACCEPT
#protection contre le ping de la mort
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit
1/s -j ACCEPT
#Loger les paquets spoofés et redirigés
for f in /proc/sys/net/ipv4/conf/*/log_martians;do
echo 1 > $f
done
############ FIN DE PROTECTION CONTRE LES ATTAQUES
#On commence à bloquer
$IPTABLES -P INPUT DROP
$IPTABLES -P OUTPUT DROP
$IPTABLES -P FORWARD DROP
$IPTABLES -t nat -P PREROUTING ACCEPT
$IPTABLES -t nat -P POSTROUTING ACCEPT
$IPTABLES -t nat -P OUTPUT ACCEPT
$IPTABLES -t mangle -P PREROUTING ACCEPT
$IPTABLES -t mangle -P INPUT ACCEPT
$IPTABLES -t mangle -P OUTPUT ACCEPT
$IPTABLES -t mangle -P FORWARD ACCEPT
$IPTABLES -t mangle -P POSTROUTING ACCEPT
#On accept en localhost et ce qui vient sur lan
$IPTABLES -A INPUT -i lo -j ACCEPT
$IPTABLES -A OUTPUT -o lo -j ACCEPT
$IPTABLES -A INPUT -i $LAN -j ACCEPT
$IPTABLES -A OUTPUT -o $LAN -j ACCEPT
#On accept tout ce qui va du lan vers le net
$IPTABLES -A FORWARD -i $LAN -o $ADSL -m state --state
NEW,ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A FORWARD -i $ADSL -o $LAN -m state --state
ESTABLISHED,RELATED -j ACCEPT
#On accept le web et ftp sur l'ordi linux #Web
$IPTABLES -A OUTPUT -o $ADSL -m state --state NEW,ESTABLISHED,RELATED -p
tcp --dport 80 -j ACCEPT
$IPTABLES -A INPUT -i $ADSL -m state --state ESTABLISHED,RELATED -p tcp
--sport 80 -j ACCEPT
#Https
$IPTABLES -A OUTPUT -o $ADSL -p tcp --dport 443 -m state --state
NEW,ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A INPUT -i $ADSL -p tcp --sport 443 -m state --state
ESTABLISHED,RELATED -j ACCEPT
#Dns
$IPTABLES -A OUTPUT -o $ADSL -m state --state NEW,ESTABLISHED,RELATED -p
udp --dport 53 -j ACCEPT
$IPTABLES -A INPUT -i $ADSL -m state --state ESTABLISHED,RELATED -p udp
--sport 53 -j ACCEPT
#ftp
$IPTABLES -A INPUT -i $ADSL -p tcp --sport 21 -m state --state
ESTABLISHED -j ACCEPT
$IPTABLES -A OUTPUT -o $ADSL -p tcp --dport 21-m state --state
NEW,ESTABLISHED -j ACCEPT
#ssh
$IPTABLES -A INPUT -i $ADSL -p tcp --sport 22 -m state --state
NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A OUTPUT -o $ADSL -p tcp --dport 22 -m state --state
NEW,ESTABLISHED -j ACCEPT
$IPTABLES -A INPUT -i $ADSL -p tcp --sport 20 -m state --state
ESTABLISHED,RELATED -j ACCEPT
$IPTABLES -A OUTPUT -o $ADSL -p tcp --dport 20 -m state --state
ESTABLISHED -j ACCEPT
$IPTABLES -A INPUT -i $ADSL -p tcp --sport 1024:65535 --dport 1024:65535
-m state --state ESTABLISHED -j ACCEPT
$IPTABLES -A OUTPUT -o $ADSL -p tcp --sport 1024:65535 --dport
1024:65535 -m state --state ESTABLISHED,RELATED -j ACCEPT
#On masque les connections sortantes
$IPTABLES -t nat -A POSTROUTING -s 192.168.1.0/24 -o $ADSL -j MASQUERADE
/*Bien sure avant j'ai fait un *service iptables stop* et *service
shorewall stop* ...
apres je fais un *service iptables start* et *sh firewall
*Après, je peux vous montrer le proftpd mais je pense pas que c'est là
ou ca merde car .... sans firewall çà marche très bien...
/* # This is a basic ProFTPD configuration file (rename it to
# 'proftpd.conf' for actual use. It establishes a single server
# and a single anonymous login. It assumes that you have a user/group
# "nobody" and "ftp" for normal operation and anon.
ServerName "FTP COUCOU"
ServerType standalone
UseFtpUsers on
DefaultChdir /home/ftp/
DefaultRoot /home/ftp/
DefaultServer on
ServerIdent off
# Allow FTP resuming.
# Remember to set to off if you have an incoming ftp for upload.
AllowStoreRestart on
# Port 21 is the standard FTP port.
Port 21
##########################################
# GESTION DES TEMPS #
##########################################
TimeoutNoTransfer 600
TimeoutStalled 600
TimeoutIdle 1200
#######
# FIN #
#######
#Les logs des connections et transferts
SystemLog /var/log/proftpd.log
TransferLog /var/log/xferlog
#Empeche le root
RootLogin off
#Enleve le shell des utilisateurs
RequireValidShell off
# Umask 022 is a good standard umask to prevent new dirs and files
# from being group and world writable.
Umask 022
# To prevent DoS attacks, set the maximum number of child processes
# to 30. If you need to allow more than 30 concurrent connections
# at once, simply increase this value. Note that this ONLY works
# in standalone mode, in inetd mode you should use an inetd server
# that allows you to limit maximum number of processes per service
# (such as xinetd).
MaxInstances 30
# Set the user and group under which the server will run.
User nobody
Group nogroup
#Nombre max de client simultanés
MaxClients 2
#Nombre max de client avec le meme login
MaxClientsPerHost 1
AccessGrantMsg "coucou"
#POur ne pas donner d info sur le serveur
DeferWelcome off
# To cause every FTP user to be "jailed" (chrooted) into their home
# directory, uncomment this line.
#DefaultRoot ~
# Normally, we want files to be overwriteable.
AllowOverwrite on
<Directory /mnt/ftp>
# Bar use of SITE CHMOD by default
<Limit MKD RNFR RNTO DELE RMD STOR CHMOD SITE_CHMOD SITE XCUP WRITE XRMD
XPWD>
AllowUser coucou
DenyAll
</Limit>
</Directory>
# Needed for NIS.
PersistentPasswd off
*/Dans un sens, oui çà m'arange que le ping ne marche pas ... mais je
suis arrivé à me demander si çà venait pas de là..... car je vois pas
pourquoi les connexions ne marche pas..... de WAN vers serveur
Merci par avance....
J'espere que c'est suffisant comme detail
--------------------------------------------------------------------
Les listes de diffusion occultes: <URL:http://www.CULTe.org/listes/>