Config firewall
Fermé
Chris
-
5 déc. 2005 à 16:43
kmf31 Messages postés 1564 Date d'inscription mercredi 30 mars 2005 Statut Contributeur Dernière intervention 22 juin 2007 - 6 déc. 2005 à 00:20
kmf31 Messages postés 1564 Date d'inscription mercredi 30 mars 2005 Statut Contributeur Dernière intervention 22 juin 2007 - 6 déc. 2005 à 00:20
A voir également:
- Config firewall
- Ms config - Guide
- Connaitre sa config pc - Guide
- Comodo firewall gratuit - Télécharger - Pare-feu
- Tester sa config pc - Guide
- Dns probe finished bad config - Forum DNS
2 réponses
kmf31
Messages postés
1564
Date d'inscription
mercredi 30 mars 2005
Statut
Contributeur
Dernière intervention
22 juin 2007
501
6 déc. 2005 à 00:20
6 déc. 2005 à 00:20
Alors si on suppose que tu as deja un pare feu active (par exemple shorewall, Firestarter, le pare graphique de Mandrake, Fedora ou Suse, peu importe) tu peux simplement ajouter quelques regles iptables. Tu te connectes en root (dans un terminal avec "su -") et tu executes de commandes de genres:
ou XX.XX.XX.XX est le numero IP pour lequel tu veux ouvrir et YYY le numero du port (TCP) que tu veux ouvrir. Tu refais cette commande pour chaque IP et chaque numero du port (ceux indique par denligne: 430, 445, 137, 138, 139). Pour le numero IP tu peux aussi utiliser la notation avec un masque, par exemple:
192.168.0.0/255.255.255.0 pour toute la plage: 192.168.0.x avec x=0, 1, 2, ..., 255. Ca permet d'ouvrir d'un seul coup pour tout un reseau local si tu veux ca et d'economiser de taper 256 lignes pour chaque numero de port!
Bien-sur pour que ce soit facile a refaire il faudrait mettre toutes les lignes "iptables -I ..." a taper dans un script a executer une fois apres le boot, c.-a-d. tu mettras tout ca dans un fichier ascii, disons appele: "regle.sh", tu le rends executable (avec: "chmod +x regle.sh") et apres tu l'execute ("./regle.sh" ou "/chemin_complet/regle.sh"). Apres le prochains reboot il suffit de reexecuter le script, eventuellement on peut le faire automatiquement (ca depend de la distribution).
Je crois en Mandrake (et aussi Fedora/Redhat) tu peux faire autre chose plus facile pour l'execution automatique:
D'abord apres un reboot tu executes toutes les commandes (ou le script si tu en a fait un) pour les nouvelles regles pour une fois et apres tu peux sauvegarder l'ensemble des regles (c.-a-d. les regles de pare feu Mandrake plus tes nouvelles regles!) dans le fichier /etc/sysconfig/iptables qui contient la config du pare feu Mandrake (je crois). Pour ca tu fais exactement:
Avec ca le pare feu sera modifie en permanence (aussi apres reboot!!). Seulement il faut eviter de toucher apres au pare feu dans le DrakConf (car ca va ecraser ce fichier!). Donc si tu touches a ton pare feux dans le DrakConf il faut refaire ca (remettre tes regles + sauvegarde).
Si pour une raison quelconque ca plante tu remets l'ancien parefeu:
La methode en ajoutant de regles iptables devrait marcher avec tout pare feu indique ci-dessus mais bien-sur la bonne solution serait de trouver comment faire ca plus proprement dans le pare feu lui meme (comme shorewall, Firestarter etc.) mais souvent les trucs graphiques (notamment celui de Mandrake) ne sont pas tres flexibles. Tu pourras problablement facilement ouvrir pour Samba avec un clique dans le bon menu DrakConf mais simplement pour tout IP et pas pour d'IPs specifiques.
iptables -I INPUT -s XX.XX.XX.XX -p tcp --dport YYY -j ACCEPT
ou XX.XX.XX.XX est le numero IP pour lequel tu veux ouvrir et YYY le numero du port (TCP) que tu veux ouvrir. Tu refais cette commande pour chaque IP et chaque numero du port (ceux indique par denligne: 430, 445, 137, 138, 139). Pour le numero IP tu peux aussi utiliser la notation avec un masque, par exemple:
192.168.0.0/255.255.255.0 pour toute la plage: 192.168.0.x avec x=0, 1, 2, ..., 255. Ca permet d'ouvrir d'un seul coup pour tout un reseau local si tu veux ca et d'economiser de taper 256 lignes pour chaque numero de port!
Bien-sur pour que ce soit facile a refaire il faudrait mettre toutes les lignes "iptables -I ..." a taper dans un script a executer une fois apres le boot, c.-a-d. tu mettras tout ca dans un fichier ascii, disons appele: "regle.sh", tu le rends executable (avec: "chmod +x regle.sh") et apres tu l'execute ("./regle.sh" ou "/chemin_complet/regle.sh"). Apres le prochains reboot il suffit de reexecuter le script, eventuellement on peut le faire automatiquement (ca depend de la distribution).
Je crois en Mandrake (et aussi Fedora/Redhat) tu peux faire autre chose plus facile pour l'execution automatique:
D'abord apres un reboot tu executes toutes les commandes (ou le script si tu en a fait un) pour les nouvelles regles pour une fois et apres tu peux sauvegarder l'ensemble des regles (c.-a-d. les regles de pare feu Mandrake plus tes nouvelles regles!) dans le fichier /etc/sysconfig/iptables qui contient la config du pare feu Mandrake (je crois). Pour ca tu fais exactement:
mv /etc/sysconfig/iptables /etc/sysconfig/iptables.copie iptables-save > /etc/sysconfig/iptables
Avec ca le pare feu sera modifie en permanence (aussi apres reboot!!). Seulement il faut eviter de toucher apres au pare feu dans le DrakConf (car ca va ecraser ce fichier!). Donc si tu touches a ton pare feux dans le DrakConf il faut refaire ca (remettre tes regles + sauvegarde).
Si pour une raison quelconque ca plante tu remets l'ancien parefeu:
mv /etc/sysconfig/iptables.copie /etc/sysconfig/iptables iptables-restore /etc/sysconfig/iptables
La methode en ajoutant de regles iptables devrait marcher avec tout pare feu indique ci-dessus mais bien-sur la bonne solution serait de trouver comment faire ca plus proprement dans le pare feu lui meme (comme shorewall, Firestarter etc.) mais souvent les trucs graphiques (notamment celui de Mandrake) ne sont pas tres flexibles. Tu pourras problablement facilement ouvrir pour Samba avec un clique dans le bon menu DrakConf mais simplement pour tout IP et pas pour d'IPs specifiques.
denligne
Messages postés
212
Date d'inscription
lundi 29 août 2005
Statut
Membre
Dernière intervention
18 décembre 2005
53
5 déc. 2005 à 19:13
5 déc. 2005 à 19:13
Soir,
Tout dépends du firewall qui est utilisé.
Je pense que Firestarter est un des plus pratiques mais c'est un choix.... en plus il dispose d'une interface graphique assez simple d'utilisation. C'est ce que j'en dis...
Pour Samba ouvrir les ports 430 445 137-138-139.
Tout dépends du firewall qui est utilisé.
Je pense que Firestarter est un des plus pratiques mais c'est un choix.... en plus il dispose d'une interface graphique assez simple d'utilisation. C'est ce que j'en dis...
Pour Samba ouvrir les ports 430 445 137-138-139.
