(Courriels de diversion: <empêtreraient@vilipendait-desoeuvre.com> <satisfaisaient@melangerai-lecheront.com> <replats@deplafonnent-debraguetter.com> <soulignera@emblavure-edictees.com> <apprehendais@sortis-reeduquerions.com> <galvaude@puisse-annonciateur.com> <couchez@abbe-bisquer.com> <logiquement@flottaison-farfelue.com> <plairiez@ejectees-quantificateurs.com> <detartrees@fiestas-lancerais.com> )
On Tue, 30 Jul 2002, Nicolas Vauché wrote: > Salut, > > >Mais siiii, il veut utliser iptables et pas ipchains et faire des regles > >pour securiser son rezo windows (utopique n'est ce pas ?) > C'est bien ça. > D'accord avec toi, mais j'ai pas le choix :-( > Et puis j'ai accepté parce que je veux savoir comment ça marche. Oui mais alors tu veux savoir quoi exactement ? Lire le man iptables n'est pas forcement le moyen le plus facile pour aborder le sujet. moi j'ai une astuce, ca s'apelle : * iptables-save * iptables-restore c'est encore le meilleur moyen d'avoir un truc lisible je trouve et c'est comme ca que j'ai appris a me servire du bousin. Tu va chercher sur le grand ternet un script shell pour creer qques regles de base. tu bidouille 3x rien dedans, tu le lances et ensuite : iptables-save > un_fichier ca te sort qqch du genre : [ je coupe le debut pas tres lisible ] -A INPUT -i ppp0 -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -i ppp0 -p tcp -m tcp --dport 20 -j ACCEPT -A INPUT -i ppp0 -p tcp -m tcp --dport 21 -j ACCEPT -A INPUT -i ppp0 -p tcp -m tcp --dport 22 -j ACCEPT -A OUTPUT -s 10.0.0.10 -d 10.0.0.138 -o ppp0 -j ACCEPT -A OUTPUT -o lo -j ACCEPT -A OUTPUT -o udp -j ACCEPT -A OUTPUT -o eth0 -j ACCEPT -A OUTPUT -o ppp0 -m state --state RELATED,ESTABLISHED -j ACCEPT -A OUTPUT -o ppp0 -j ACCEPT et ce genre de chose, je sais pas vous mais je trouve ca clair. la, tu l'edites en respectant la syntaxe generée par iptables-save (C pas la mort hein) j'ai choisis de tout refuser sauf qui est explicitement permis (chacun sa politique, l'inverse est generalement plus pratique et plus permissif). je prefere oublier d'ouvrir un port que d'oublier de fermer un port "fragile". ensuite : iptables-restore < mon_fichier_avec_mes_nouvelles_regles tadaaaaaaaam ! voila, tes nouvelles regles sont en place. > >La ou on a fauté c'est de pas lui avoir dit que, un firewall, ca securise > >pas grand chose en soit. > D'après ce que j'ai compris, c'est juste du filtrage IP... > Et aussi la possibilité de fermer certains ports qu'on n'utilise pas et qui > sont comme des portes grandes ouvertes (Telnet par ex). > Bof, c'est déjà ça. Certe certe, mais je connais suffisemment de gens/boites qui considerent un firewall comme la Securité (avec un grand S) et qui laisse derriere un ssh troué (ou autres connerie du genre) > Plus notre antivirus, ça devrait être un peu plus sécurisé non ? un peu plus oui. > >Et que se lancer dans l'admin de firewall c'est > >s'eloigner sacrement de la serenité et la santé mentale (parano et > >toussa). > Mais surtout la possibilité d'en apprendre des tas. > Mon boss sait bien que je suis un newbie en la matière, il en attend pas > trop de moi. > Et puis on a un tout petit réseau qui n'intéresse pas grand monde (sauf les > curieux). > Côté stress, c'est pas de ce côté qu'il en arrive le plus. C'est un stress "latent". se retrouver responsable d'une facon ou d'une autre d'un bout de securité n'est pas tjrs de tout repos. > Désolé d'avoir été le début d'une polémique, je dois avoir du troll moi > aussi :-) > Mais merci encore à tous pour votre accueil, même aux trolls qui me font > bien marrer quand je les relis ;-) Ah !!! :) > C'est vrai qu'un peu d'humanité dans ce monde de bits ça fait pas de mal. Et surtout par cette chaleur :) > Dernier post de ma part sans sujet valable. boaf... > Bonne journée à tou(te)s, Pareil. -- Laurent Laborde (qui cherche un nouveau boulot de plus en plus activement) --------------------------------------------------------------------- Aide sur la liste: <URL:mailto:linux-31-help@CULTe.org>Le CULTe sur le web: <URL:http://www.CULTe.org/>