cherche bon firewall

cherche bon firewall - Linux et OS Alternatifs

Marsh Posté le 19-05-2005 à 18:59:28    

Je vien de desactiver le firewall d'origine de xp pro sp2. Auparavant je n'utilisé pas de firewall, mais maintenant que j'ai une freebox j'ai peur d'etre plus vulnerable qu'avec mon ancien modem. Doit je mettre un firewall ? Et si oui pouvez vous me conseiller un firewall simple d'utilisation, et qui ne bloque pas le p2p (je sais c'est pas bien  ;) ) Merci d'avance.

Reply

Marsh Posté le 19-05-2005 à 18:59:28   

Reply

Marsh Posté le 19-05-2005 à 19:01:15    

netfilter/iptables et pf sont très bien


---------------
Celui qui pose une question est idiot 5 minutes. Celui qui n'en pose pas le reste toute sa vie. |  Membre du grand complot pharmaceutico-médico-scientifico-judéo-maçonnique.
Reply

Marsh Posté le 19-05-2005 à 19:09:32    

poster dans la bonne section pour commencer.


---------------
uptime is for lousy system administrators what Viagra is for impotent people - mes unixeries - github me
Reply

Marsh Posté le 19-05-2005 à 19:13:29    

c'est un peu dur ca au début.
Pour une machine perso, mieux vaut commencer avec firestarter qui est assez intuitif ...

Reply

Marsh Posté le 19-05-2005 à 19:14:03    

+1 firestarter est tres intuitif.

Reply

Marsh Posté le 19-05-2005 à 19:24:40    

fwbuilder c'est bien également pour commencer...
 
le mieux c'est de monter une box spécialisée pour filtrer ton réseau (genre une distro IpCop ou une Debian + de bonnes règles iptables). C'est léger, sécurisé et super-fiable


---------------
THRAK (def.) : 1) A sudden and precise impact moving from intention, direction and commitment, in service of an aim. 2) 117 guitars almost striking the same chord simultaneously.
Reply

Marsh Posté le 19-05-2005 à 19:33:53    

Personnellement fwbuilder la GUI est ok par contre j'aime pas le script qu'il me génère derrière.
Sauf si ca a changé depuis que je l'ai testé (il y a 8 mois) [:klem3i1]
 
Mais de toutes manières je doute que le créateur tout pissant de ce topic désire mon avis sur fwbuilder :o

Reply

Marsh Posté le 19-05-2005 à 20:28:45    

l0ky a écrit :


Mais de toutes manières je doute que le créateur tout pissant de ce topic désire mon avis sur fwbuilder :o


Lapsus révélateur ?  :whistle:  :lol:


---------------
THRAK (def.) : 1) A sudden and precise impact moving from intention, direction and commitment, in service of an aim. 2) 117 guitars almost striking the same chord simultaneously.
Reply

Marsh Posté le 19-05-2005 à 20:31:17    

Mjules a écrit :

netfilter/iptables et pf sont très bien


 
 
+1
 
 
Perso je prefere la syntaxe de pf a celle de netfilter/iptables mais bon  :whistle:

Reply

Marsh Posté le 19-05-2005 à 20:38:37    

pf est très bon.

Reply

Marsh Posté le 19-05-2005 à 20:38:37   

Reply

Marsh Posté le 19-05-2005 à 20:58:00    

Allez un  peu de pub pour pf  :whistle:  
 
une config generique pour un firewalling assez robuste:
 

Code :
  1. * # File /etc/pf.conf
  2.     * # RuleSet made by spybsd
  3.     * # Updated 08-09-2004
  4.     * # Please send me your comment : spybsd@free.Fr
  5.     * # macros
  6.     * int_if = "xl1"
  7.     * ext_if = "xl0"
  8.     * dmz_if = "xl2"
  9.     * lan_net = "something"
  10.     * dmz_net = "something"
  11.     * taf_net = "something"
  12.     *
  13.     * tcp_services = "{ 22 }"
  14.     * icmp_types = "echoreq"
  15.     * dmz_services = "{ 25, 53 , 80 }"
  16.     *
  17.     * # table containing all IP addresses assigned to the firewall
  18.     * table <firewall> const { self }
  19.     * table <trusted> { 10.0.10.0/24, 192.168.1.100 }
  20.     * table <NoRoute> { 127.0.0.1/8, 172.16.0.0/12, 192.168.0.0/16, !$lan_net, !$dmz_net, 10.0.0.0/8, 255.255.255.255/32}
  21.     *
  22.     *
  23.     * # options
  24.     * #set block-policy return
  25.     * set loginterface $ext_if
  26.     * set optimization aggressive
  27.     *
  28.     * # scrub
  29.     * scrub in all
  30.     *
  31.     * ############
  32.     * # nat/rdr###
  33.     * ############
  34.     * nat on $ext_if from $lan_net to any -> ($ext_if)
  35.     * nat on $ext_if from $dmz_net to any -> ($ext_if)
  36.     *
  37.     * #Rules for ftp proxy and dmz services
  38.     * #rdr on $int_if proto tcp from any to any port 21 -> 127.0.0.1 port 8021 
  39.     * #rdr on $ext_if proto tcp from any port $dmz_services -> $dmz_net
  40.     * #rdr on $ext_if proto udp from any port 53 -> $dmz_net 
  41.     * #rdr on $ext_if proto tcp from any port 53 -> $dmz_net 
  42.     *
  43.     * ###############
  44.     * # filter rules#
  45.     * ###############
  46.     *
  47.     * #default deny
  48.     * block in all
  49.     * block out all
  50.     *
  51.     * #Loopback rule
  52.     * pass quick on lo0 all
  53.     *
  54.     * #antispoof rule
  55.     * antispoof quick for $int_if inet
  56.     * antispoof quick for $dmz_if inet
  57.     * block in log quick on $ext_if inet from <NoRoute> to any
  58.     * block in log quick on $ext_if inet from any to <NoRoute>
  59.     *
  60.     * #block IPv6
  61.     * block quick inet6
  62.     *
  63.     * #block from and to trusted network
  64.     * block drop in  quick on $ext_if from $lan_net to any
  65.     * block drop out quick on $ext_if from any to $lan_net
  66.     * block drop in  quick on $ext_if from $dmz_net to any
  67.     * block drop out quick on $ext_if from any to $dmz_net
  68.     *
  69.     * #Anti NMAP Rule
  70.     * block in log quick proto tcp flags FUP/WEUAPRSF
  71.     * block in log quick proto tcp flags WEUAPRSF/WEUAPRSF
  72.     * block in log quick proto tcp flags SRAFU/WEUAPRSF
  73.     * block in log quick proto tcp flags /WEUAPRSF
  74.     * block in log quick proto tcp flags SR/SR
  75.     * block in log quick proto tcp flags SF/SF
  76.     * block in log quick on $ext_if os NMAP
  77.     *
  78.     * #ssh rule for accessing the gateway
  79.     * pass in on $ext_if inet proto tcp from $taf_net to ($ext_if) port $tcp_services flags S/SA keep state
  80.     * 
  81.     * #Fingerprint requested rule -> use only for testing purpose
  82.     * #pass in on $ext_if inet proto tcp from any to ($ext_if) port $tcp_services flags S/SA keep state 
  83.     *
  84.     * #dmz rule
  85.     * pass in on $ext_if inet proto tcp from any to $dmz_net port $dmz_services
  86.     * pass in on $ext_if inet proto udp from any to $dmz_net port $dmz_services
  87.     *
  88.     * #Allow ICMP -> use only for debug purpose
  89.     * #pass in inet proto icmp all icmp-type $icmp_types keep state
  90.     *
  91.     * #Outgoing rule
  92.     *
  93.     * pass in  on $int_if from $lan_net to any 
  94.     * pass out on $int_if from any to $lan_net
  95.     * pass in on $dmz_if from $dmz_net to any
  96.     * pass out on $dmz_if from any to $dmz_net
  97.     *
  98.     * pass out on $ext_if proto tcp all modulate state flags S/SA
  99.     * pass out on $ext_if proto { udp, icmp } all keep state
  100.     *
  101.     * pass out on $ext_if from $lan_net to any keep state


 
 
Ces regles de filtrage restent assez basiques mais terriblement effciaces.
De plus elles vous permettent de fausser les reponses à l'OS fingerprint si vous activer l'option set block-policy return. il faut aussi activer 2 options dans sysctl.conf
 
net.inet.tcp.rfc1323 = 0
net.inet.tcp.recvspace = 30720  
net.inet.tcp.sendspace = 30720  
 
#Les 2 derniers parametres modifient la taille de la fenetre tcp  
 
 
Rien n'empeche ensuite d'activer le module authpf


Message édité par spy le 19-05-2005 à 20:58:10
Reply

Marsh Posté le 19-05-2005 à 23:50:22    

THRAK a écrit :

Lapsus révélateur ?  :whistle:  :lol:


Non c'était volontaire  [:skeye]

Reply

Sujets relatifs:

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed