Linux Networking HOWTO | ||
---|---|---|
Prev | Chapter 7. Informations relatives � l'IP | Next |
Le pare-feu IP et les publications le concernant sont trait�s de mani�re plus approfondie dans le Firewall-HOWTO. Le pare-feu IP vous permet de s�curiser votre machine contre les acc�s r�seau non-autoris�s en filtrant, ou acceptant, des datagrammes venant de, ou allant vers, des adresses IP de votre choix. Il y a diff�rentes r�gles : le filtrage en entr�e, le filtrage en sortie, et le filtrage en retransmission. Les r�gles en entr�e s'appliquent aux datagrammes qui sont re�us par un dispositif r�seau. Les r�gles en sortie s'appliquent aux datagrammes qui sont �mis par un dispositif r�seau. Les r�gles en retransmission s'appliquent aux datagrammes qui ne sont pas pour cette machine, c'est � dire les datagrammes qui seront rerout�s.
Options de compilation noyau :
Networking options ---> [*] Network firewalls .... [*] IP: forwarding/gatewaying .... [*] IP: firewalling [ ] IP: firewall packet logging |
La configuration du pare-feu IP est r�alis�e en utilisant la commande ipfwadm. Comme mentionn� plus haut, la s�curit� n'est pas ma sp�cialit�, aussi, bien que je vous pr�sente un exemple utilisable par vous-m�me, faites des recherches et mettez au point vos propres r�glages si la s�curit� est importante pour vous.
Utiliser votre machine Linux comme routeur et passerelle pare-feu pour prot�ger votre r�seau local contre les acc�s non autoris�s (venant de l'ext�rieur) est vraisemblablement l'utilisation la plus courante d'un pare-feu IP.
La configuration suivante est due � Arnt Gulbrandsen, <agulbra@troll.no>.
L'exemple d�crit une configuration de pare-feu pour une machine Linux /pare-feu/routeur illustr�e par ce diagramme :
- - \ | 172.16.37.0 \ | /255.255.255.0 \ - - - - - | | 172.16.174.30 | Linux | | NET =================| f/w |- - - | ..37.19 | PPP | router| | - - - - / - - - - - |--| Mail | / | | /DNS | / | - - - - - - |
Les commandes suivantes doivent �tre normalement plac�es dans un fichier rc de telle sorte qu'elles seront d�marr�es automatiquement � chaque red�marrage du syst�me. Pour une s�curit� maximum, elles devront �tre effectu�es apr�s la configuration des interfaces r�seau, mais avant le montage de ces interfaces pour �viter que quelqu'un puisse se connecter pendant que la machine pare-feu red�marre.
#!/bin/sh # Nettoie la table des r�gles de 'Forwarding' # Change le r�glage par d�faut en 'accept' # /sbin/ipfwadm -F -f /sbin/ipfwadm -F -p accept # # .. et pour 'Incoming' # /sbin/ipfwadm -I -f /sbin/ipfwadm -I -p accept # En premier, d�v�rouille l'interface PPP # J'aimerais bien utiliser '-a deny' au lieu de '-a reject -y' mais # il serait alors impossible d'�tablir des connexions �galement sur # cette interface. L'utilisation de -o fait en sorte que tous # les datagrammes rejet�s sont enregistr�s. Cela occupe de l'espace # disque avec pour compensation la connaissance sur l'attaque due # � une erreur de configuration. # /sbin/ipfwadm -I -a reject -y -o -P tcp -S 0/0 -D 172.16.174.30 # Rejette certains types de paquets visiblement faux: # Rien ne doit venir des adresses multicast/anycast/broadcast s # /sbin/ipfwadm -F -a deny -o -S 224.0/3 -D 172.16.37.0/24 # # et aucune chose venant du r�seau loopback ne doit �tre vu sur l'air # /sbin/ipfwadm -F -a deny -o -S 127.0/8 -D 172.16.37.0/24 # accepte les connexions entrantes SMTP et DNS, mais seules pour # le serveur de courrier et le serveur de noms # /sbin/ipfwadm -F -a accept -P tcp -S 0/0 -D 172.16.37.19 25 53 # # DNS utilise UDP aussi bien que TCP, ce qui l'autorise donc quand # le serveur de noms est interrog� # /sbin/ipfwadm -F -a accept -P udp -S 0/0 -D 172.16.37.19 53 # # mais pas de "r�ponses" arrivant sur les ports dangereux tels que # NFS et l'extension NFS de Larry McVoy. Si vous utilisez squid # ajoutez son port ici. # /sbin/ipfwadm -F -a deny -o -P udp -S 0/0 53 \ -D 172.16.37.0/24 2049 2050 # les r�ponses aux autres ports utilisateurs sont autoris�es # /sbin/ipfwadm -F -a accept -P udp -S 0/0 53 \ -D 172.16.37.0/24 53 1024:65535 # Rejette les connexions entrantres vers identd # Nous utilisons 'reject' dans ce cas en sorte qu'il soit dit � l'h�te # entrant de ne pas pers�v�rer, sinon nous devrons attendre que # identd s'arr�te. # /sbin/ipfwadm -F -a reject -o -P tcp -S 0/0 -D 172.16.37.0/24 113 # Accepte des connexions sur des services en provenance des r�seaux # 192.168.64 et 192.168.65, qui sont des amis de confiance. # /sbin/ipfwadm -F -a accept -P tcp -S 192.168.64.0/23 \ -D 172.16.37.0/24 20:23 # accepte et laisse passer tout ce qui vient de l'int�rieur # /sbin/ipfwadm -F -a accept -P tcp -S 172.16.37.0/24 -D 0/0 # rejette la plupart des autres connexions TCP entrantes et les # enregistre (ajoutez 1:1023 si ftp ne fonctionne pas) # /sbin/ipfwadm -F -a deny -o -y -P tcp -S 0/0 -D 172.16.37.0/24 # ... pour UDP �galement # /sbin/ipfwadm -F -a deny -o -P udp -S 0/0 -D 172.16.37.0/24 |
De bonnes configurations pare-feu sont difficiles � faire. Cet exemple peut �tre un bon point de d�part pour vous. La page de manuel ipfwadm vous aidera pour savoir comment utiliser cet outil. Si vous voulez configurer un pare-feu, demandez autour de vous et recueillez des avis venant de sources de confiance et prenez contact avec quelqu'un qui est � l'ext�rieur pour tester votre configuration et en v�rifier la fiabilit�.
On acc�de au nouveau code d'enregistrement par des ``cha�nes pare-feu IP''. Voir La page d'accueil des cha�nes IP pour plus d'informations. Entre autres vous devrez utiliser ipchains/ au lieu de ipfwadm/ pour configurer vos filtres. (D'apr�s Documentations/Changes dans les sources du dernier noyau).
Nous sommes conscients du fait que ce n'est malheureusement plus d'actualit� et nous oeuvrons actuellement pour que cette section soit plus � jour. Vous pouvez en esp�rer une en 1999.
Hosting by: Hurra Communications GmbH
Generated: 2007-01-26 18:01:31