Config firewall
Chris
-
kmf31 Messages postés 1564 Date d'inscription Statut Contributeur Dernière intervention -
kmf31 Messages postés 1564 Date d'inscription Statut Contributeur Dernière intervention -
Salut à tous!
Ma question est simple, comment je peux faire pour autoriser l'accés à mon serveur de fichier (sous mandrake 10.0) UNIQUEMENT pour le service samba. Je souhaite aussi que cet accés soit autorisé seulement pour des IPs precises.
Merci
Chris
Ma question est simple, comment je peux faire pour autoriser l'accés à mon serveur de fichier (sous mandrake 10.0) UNIQUEMENT pour le service samba. Je souhaite aussi que cet accés soit autorisé seulement pour des IPs precises.
Merci
Chris
A voir également:
- Config firewall
- Comodo firewall - Télécharger - Pare-feu
- Ms config - Guide
- Connaitre sa config pc - Guide
- Test config pc avant achat ✓ - Forum Matériel & Système
- Dns probe finished bad config - Forum Réseau
2 réponses
Alors si on suppose que tu as deja un pare feu active (par exemple shorewall, Firestarter, le pare graphique de Mandrake, Fedora ou Suse, peu importe) tu peux simplement ajouter quelques regles iptables. Tu te connectes en root (dans un terminal avec "su -") et tu executes de commandes de genres:
ou XX.XX.XX.XX est le numero IP pour lequel tu veux ouvrir et YYY le numero du port (TCP) que tu veux ouvrir. Tu refais cette commande pour chaque IP et chaque numero du port (ceux indique par denligne: 430, 445, 137, 138, 139). Pour le numero IP tu peux aussi utiliser la notation avec un masque, par exemple:
192.168.0.0/255.255.255.0 pour toute la plage: 192.168.0.x avec x=0, 1, 2, ..., 255. Ca permet d'ouvrir d'un seul coup pour tout un reseau local si tu veux ca et d'economiser de taper 256 lignes pour chaque numero de port!
Bien-sur pour que ce soit facile a refaire il faudrait mettre toutes les lignes "iptables -I ..." a taper dans un script a executer une fois apres le boot, c.-a-d. tu mettras tout ca dans un fichier ascii, disons appele: "regle.sh", tu le rends executable (avec: "chmod +x regle.sh") et apres tu l'execute ("./regle.sh" ou "/chemin_complet/regle.sh"). Apres le prochains reboot il suffit de reexecuter le script, eventuellement on peut le faire automatiquement (ca depend de la distribution).
Je crois en Mandrake (et aussi Fedora/Redhat) tu peux faire autre chose plus facile pour l'execution automatique:
D'abord apres un reboot tu executes toutes les commandes (ou le script si tu en a fait un) pour les nouvelles regles pour une fois et apres tu peux sauvegarder l'ensemble des regles (c.-a-d. les regles de pare feu Mandrake plus tes nouvelles regles!) dans le fichier /etc/sysconfig/iptables qui contient la config du pare feu Mandrake (je crois). Pour ca tu fais exactement:
Avec ca le pare feu sera modifie en permanence (aussi apres reboot!!). Seulement il faut eviter de toucher apres au pare feu dans le DrakConf (car ca va ecraser ce fichier!). Donc si tu touches a ton pare feux dans le DrakConf il faut refaire ca (remettre tes regles + sauvegarde).
Si pour une raison quelconque ca plante tu remets l'ancien parefeu:
La methode en ajoutant de regles iptables devrait marcher avec tout pare feu indique ci-dessus mais bien-sur la bonne solution serait de trouver comment faire ca plus proprement dans le pare feu lui meme (comme shorewall, Firestarter etc.) mais souvent les trucs graphiques (notamment celui de Mandrake) ne sont pas tres flexibles. Tu pourras problablement facilement ouvrir pour Samba avec un clique dans le bon menu DrakConf mais simplement pour tout IP et pas pour d'IPs specifiques.
iptables -I INPUT -s XX.XX.XX.XX -p tcp --dport YYY -j ACCEPT
ou XX.XX.XX.XX est le numero IP pour lequel tu veux ouvrir et YYY le numero du port (TCP) que tu veux ouvrir. Tu refais cette commande pour chaque IP et chaque numero du port (ceux indique par denligne: 430, 445, 137, 138, 139). Pour le numero IP tu peux aussi utiliser la notation avec un masque, par exemple:
192.168.0.0/255.255.255.0 pour toute la plage: 192.168.0.x avec x=0, 1, 2, ..., 255. Ca permet d'ouvrir d'un seul coup pour tout un reseau local si tu veux ca et d'economiser de taper 256 lignes pour chaque numero de port!
Bien-sur pour que ce soit facile a refaire il faudrait mettre toutes les lignes "iptables -I ..." a taper dans un script a executer une fois apres le boot, c.-a-d. tu mettras tout ca dans un fichier ascii, disons appele: "regle.sh", tu le rends executable (avec: "chmod +x regle.sh") et apres tu l'execute ("./regle.sh" ou "/chemin_complet/regle.sh"). Apres le prochains reboot il suffit de reexecuter le script, eventuellement on peut le faire automatiquement (ca depend de la distribution).
Je crois en Mandrake (et aussi Fedora/Redhat) tu peux faire autre chose plus facile pour l'execution automatique:
D'abord apres un reboot tu executes toutes les commandes (ou le script si tu en a fait un) pour les nouvelles regles pour une fois et apres tu peux sauvegarder l'ensemble des regles (c.-a-d. les regles de pare feu Mandrake plus tes nouvelles regles!) dans le fichier /etc/sysconfig/iptables qui contient la config du pare feu Mandrake (je crois). Pour ca tu fais exactement:
mv /etc/sysconfig/iptables /etc/sysconfig/iptables.copie iptables-save > /etc/sysconfig/iptables
Avec ca le pare feu sera modifie en permanence (aussi apres reboot!!). Seulement il faut eviter de toucher apres au pare feu dans le DrakConf (car ca va ecraser ce fichier!). Donc si tu touches a ton pare feux dans le DrakConf il faut refaire ca (remettre tes regles + sauvegarde).
Si pour une raison quelconque ca plante tu remets l'ancien parefeu:
mv /etc/sysconfig/iptables.copie /etc/sysconfig/iptables iptables-restore /etc/sysconfig/iptables
La methode en ajoutant de regles iptables devrait marcher avec tout pare feu indique ci-dessus mais bien-sur la bonne solution serait de trouver comment faire ca plus proprement dans le pare feu lui meme (comme shorewall, Firestarter etc.) mais souvent les trucs graphiques (notamment celui de Mandrake) ne sont pas tres flexibles. Tu pourras problablement facilement ouvrir pour Samba avec un clique dans le bon menu DrakConf mais simplement pour tout IP et pas pour d'IPs specifiques.
