Politique de sécurité : aidez moi à faire des choix - réseaux et sécurité - Linux et OS Alternatifs
Marsh Posté le 12-07-2004 à 14:19:03
Si ton portable est toujours derriere le routeur, ca pas à grand chose de lui coller un firewall.
Si tu bouges avec (c'est le but du portable quand meme...), ca sert... à rien non plus (en partant du principe que tous tes services sont bien configurés)
Si t'en as vraiment envie, tu bloques tout. Tu autorises tout ce qui sort de ton pc, et tu acceptes tout ce qui est en réponse à ce qui sort.
Bref 3 lignes de iptables, merci le statefull.
Marsh Posté le 12-07-2004 à 14:20:09
Si ton portable n'est connecté à internet que chez toi, ton firewall est amplement suffisant à moins que tu veuilles un maximum de sécurité. Sinon ferme les services sensibles (rlogin,telnetd,...) et garde le reste.
edit: Grilled
Marsh Posté le 12-07-2004 à 14:43:15
Ben disons que j'aimerai controler ce qui entre et sort du portable plus par principe et par soucis de faire les choses correctement. Pour apprendre aussi et acquérir des méthodes rigoureuses qui pourront me servir dans mon métier et tout ça.
Me faire pirater ma machine, je pense pas que ça arrive demain : je vois pas qui aurait intérêt à venir perdre du temps à forcer mon LAN vu qu'il y a rien dessus de vital et important (cherchez pas, il y a pas les plans d'une bombe dans mes documents ou le code source de la prochaine application révolutionnaire qui va faire de moi un homme respecté ).
Citation : |
Pourrais-tu m'expliquer pourquoi ? Mon routeur fait du NAT donc il protège un peu mon portable de lui-même, mais il ne possède pas de vrai firewall intégré, ce qui explique pourquoi je cherche à mettre en place un minimum de sécurité sur le poste lui même. Quand la passerelle sera entre le LAN et le routeur, effectivement, le firewall du portable ne servira plus à grand chose (à part pour ma station Windows pour bloquer les spywares). Mais pour l'instant, je dois sécuriser mon portable depuis le portable non ?
Citation : |
Comment insérer des règles dans iptables qui veulent dire (par exemple) : si tu reçois des paquet sur le port 21 en réponse à une requête de ta part, tu laisse passer, sinon tu jettes" ? Admettons : mon routeur porte l'IP 192.168.10.10 et mon portable l'IP 192.168.10.100. Si je met une règle qui accepte les connexion sur le port 21 avec comme IP source 192.168.10.10 et IP de destination 192.168.10.100, ça va pas le faire puisque ça va accepter que les connexion FTP provenant du routeur directement et pas celle arrivant du net transitant par le routeur. Je me trompe ou pas ? A moins qu'il y ait une manière de dire "si on te répond tu laisse passer" Je commence à m'y perdre là...
Marsh Posté le 12-07-2004 à 14:56:42
Alors:
http://christian.caleca.free.fr pour commencer. A consommer sans modération.
Pour l'histoire du routeur: Ton portable derriere le routeur, il est invisible depuis l'exterieur. Si tu ne fais pas de port forwarding, à savoir dire "le port 22 de mon routeur va sur le port 22 de mon portable", personne ne peut initier de connexion sur ton portable.
Pour ton exemple, un truc du genre:
# iptables -A INPUT -p tcp --dport ftp -m state --state ESTABLISHED -j ACCEPT (tin la syntaxe ca s'oublie vite )
Enfin c'est dans cet esprit: si c'est toi qui initie la connexion FTP, la connexion est acceptée. Dans le cas contraire, non. A noter que pour le FTP c'est un exemple un peu batard puisque 2 connexions sont etablies. Il faut charger le ftp_conntrack pour gérer la situation.
Marsh Posté le 12-07-2004 à 14:12:05
Je dispose d'un réseau local chez moi (voir mes configs). Bon, pour l'instant ma passerelle Web n'en est pas vraiment une puisqu'elle n'est pas en tête de réseau, mais c'est le temps que je trouve comment la rendre silencieuse, ça va venir. Peu importe pour le moment, je suis plus en train de faire des tests et de ma perfectionner avec le pingouin.
Pour la sécurité de mon serveur pas de problème : j'ai configuré le firewall avec tout fermé par défaut + quelques accès choisi (HTTP pour tous, SSH et Samba pour le LAN). Par contre pour mon portable sous Mandrake 10.0 Official, je sais pas trop comment configurer ma sécutrité... Je fais pareil que pour mon serveur (tout fermé puis on ouvre les ports un par un pour l'HTTP, le POP et le SMTP, le FTP, etc...) ? Je laisse tout ouvert en grand sachant que j'ai déjà un routeur qui me partage la connexion (et apporte donc un peu plus de sécurité qu'une connexion directe) ? Je sais pas trop comment m'y prendre là.
Merci de m'éclairer de vos lumières et de votre expérience.
Message édité par Kortex@HFR le 12-07-2004 à 14:12:49
---------------
Au coeur du swirl - Mon feed