7.5. IP Pare-feu (Firewall) (pour Linux-2.0)

Le pare-feu IP et les publications le concernant sont trait�s de mani�re plus approfondie dans le Firewall-HOWTO. Le pare-feu IP vous permet de s�curiser votre machine contre les acc�s r�seau non-autoris�s en filtrant, ou acceptant, des datagrammes venant de, ou allant vers, des adresses IP de votre choix. Il y a diff�rentes r�gles : le filtrage en entr�e, le filtrage en sortie, et le filtrage en retransmission. Les r�gles en entr�e s'appliquent aux datagrammes qui sont re�us par un dispositif r�seau. Les r�gles en sortie s'appliquent aux datagrammes qui sont �mis par un dispositif r�seau. Les r�gles en retransmission s'appliquent aux datagrammes qui ne sont pas pour cette machine, c'est � dire les datagrammes qui seront rerout�s.

Options de compilation noyau :
Networking options  --->
 [*] Network firewalls
 ....
 [*] IP: forwarding/gatewaying
 ....
 [*] IP: firewalling
 [ ] IP: firewall packet logging

La configuration du pare-feu IP est r�alis�e en utilisant la commande ipfwadm. Comme mentionn� plus haut, la s�curit� n'est pas ma sp�cialit�, aussi, bien que je vous pr�sente un exemple utilisable par vous-m�me, faites des recherches et mettez au point vos propres r�glages si la s�curit� est importante pour vous.

Utiliser votre machine Linux comme routeur et passerelle pare-feu pour prot�ger votre r�seau local contre les acc�s non autoris�s (venant de l'ext�rieur) est vraisemblablement l'utilisation la plus courante d'un pare-feu IP.

La configuration suivante est due � Arnt Gulbrandsen, <agulbra@troll.no>.

L'exemple d�crit une configuration de pare-feu pour une machine Linux /pare-feu/routeur illustr�e par ce diagramme :

-                                   -
 \                                  | 172.16.37.0
 \                                 |   /255.255.255.0
 \                 - - - - -      |
 |  172.16.174.30 | Linux |      |
NET =================|  f/w  |- - - |    ..37.19
 |    PPP         | router|      |   - - - -
 /                 - - - - -      |--| Mail  |
 /                                 |  | /DNS  |
 /                                  |   - - - -
-                                   -

Les commandes suivantes doivent �tre normalement plac�es dans un fichier rc de telle sorte qu'elles seront d�marr�es automatiquement � chaque red�marrage du syst�me. Pour une s�curit� maximum, elles devront �tre effectu�es apr�s la configuration des interfaces r�seau, mais avant le montage de ces interfaces pour �viter que quelqu'un puisse se connecter pendant que la machine pare-feu red�marre.

        #!/bin/sh
 # Nettoie la table des r�gles de 'Forwarding'
 # Change le r�glage par d�faut en 'accept'
 #
 /sbin/ipfwadm -F -f
 /sbin/ipfwadm -F -p accept
 #
 # .. et pour 'Incoming'
 #
 /sbin/ipfwadm -I -f
 /sbin/ipfwadm -I -p accept
 # En premier, d�v�rouille l'interface PPP
 # J'aimerais bien utiliser '-a deny' au lieu de '-a reject -y' mais
 # il serait alors impossible d'�tablir des connexions �galement sur
 # cette interface. L'utilisation de -o fait en sorte que tous
 # les datagrammes rejet�s sont enregistr�s. Cela occupe de l'espace
 # disque avec pour compensation la connaissance sur l'attaque due
 # � une erreur de configuration.
 #
 /sbin/ipfwadm -I -a reject -y -o -P tcp -S 0/0 -D 172.16.174.30
 # Rejette certains types de paquets visiblement faux:
 # Rien ne doit venir des adresses multicast/anycast/broadcast s
 #
 /sbin/ipfwadm -F -a deny -o -S 224.0/3 -D 172.16.37.0/24
 #
 # et aucune chose venant du r�seau loopback ne doit �tre vu sur l'air
 #
 /sbin/ipfwadm -F -a deny -o -S 127.0/8 -D 172.16.37.0/24
 # accepte les connexions entrantes SMTP et DNS, mais seules pour
 # le serveur  de courrier et le serveur de noms
 #
 /sbin/ipfwadm -F -a accept -P tcp -S 0/0 -D 172.16.37.19 25 53
 #
 # DNS utilise UDP aussi bien que TCP, ce qui l'autorise donc quand
 # le serveur de noms est interrog�
 #
 /sbin/ipfwadm -F -a accept -P udp -S 0/0 -D 172.16.37.19 53
 #
 # mais pas de "r�ponses" arrivant sur les ports dangereux tels que
 # NFS et l'extension NFS de Larry McVoy. Si vous utilisez squid
 # ajoutez son port ici.
 #
 /sbin/ipfwadm -F -a deny -o -P udp -S 0/0 53 \
 -D 172.16.37.0/24 2049 2050
 # les r�ponses aux autres ports utilisateurs sont autoris�es
 #
 /sbin/ipfwadm -F -a accept -P udp -S 0/0 53 \
 -D 172.16.37.0/24 53 1024:65535
 # Rejette les connexions entrantres vers identd
 # Nous utilisons 'reject' dans ce cas en sorte qu'il soit dit � l'h�te
 # entrant de ne pas pers�v�rer, sinon nous devrons attendre que
 # identd s'arr�te.
 #
 /sbin/ipfwadm -F -a reject -o -P tcp -S 0/0 -D 172.16.37.0/24 113
 # Accepte des connexions sur des services en provenance des r�seaux
 # 192.168.64 et 192.168.65, qui sont des amis de confiance.
 #
 /sbin/ipfwadm -F -a accept -P tcp -S 192.168.64.0/23 \
 -D 172.16.37.0/24 20:23
 # accepte et laisse passer tout ce qui vient de l'int�rieur
 #
 /sbin/ipfwadm -F -a accept -P tcp -S 172.16.37.0/24 -D 0/0
 # rejette la plupart des autres connexions TCP entrantes et les
 # enregistre (ajoutez 1:1023 si ftp ne fonctionne pas)
 #
 /sbin/ipfwadm -F -a deny -o -y -P tcp -S 0/0 -D 172.16.37.0/24
 # ... pour UDP �galement
 #
 /sbin/ipfwadm -F -a deny -o -P udp -S 0/0 -D 172.16.37.0/24

De bonnes configurations pare-feu sont difficiles � faire. Cet exemple peut �tre un bon point de d�part pour vous. La page de manuel ipfwadm vous aidera pour savoir comment utiliser cet outil. Si vous voulez configurer un pare-feu, demandez autour de vous et recueillez des avis venant de sources de confiance et prenez contact avec quelqu'un qui est � l'ext�rieur pour tester votre configuration et en v�rifier la fiabilit�.

7.5.1. Pare-feu IP (pour Linux-2.2)

On acc�de au nouveau code d'enregistrement par des ``cha�nes pare-feu IP''. Voir La page d'accueil des cha�nes IP pour plus d'informations. Entre autres vous devrez utiliser ipchains/ au lieu de ipfwadm/ pour configurer vos filtres. (D'apr�s Documentations/Changes dans les sources du dernier noyau).

Nous sommes conscients du fait que ce n'est malheureusement plus d'actualit� et nous oeuvrons actuellement pour que cette section soit plus � jour. Vous pouvez en esp�rer une en 1999.

Hosting by: Hurra Communications GmbH
Generated: 2007-01-26 18:01:31