| View previous topic :: View next topic |
| Author |
Message |
Admin-galere
Apprentice
Joined: 04 Nov 2003
Posts: 206
Location: Paris
|
 Posted: Tue Dec 16, 2003 9:56 am Post subject: [reseau] installer un firewall (iptables) |
 |
|
Bonjour!!
Je me permet de vous solliciter afin de savoir s'il y a un tutoriel précis (pas à pas) pour installer un fire-wall.
Je vais installer ip tables et le tutoriel de gentoo dit d'aller sur une page:
http://iptables-tutorial.frozentux.net/chunkyhtml/kernelsetup.html
et le pb c que je ne trouve pas ces options a "cocher" ds mon make menuconfig!
Sont ils caches? suis-je alcoolique?? 
Vous savez vous??
merci de votre aide!
Last edited by Admin-galere on Mon Jan 12, 2004 9:17 am; edited 1 time in total |
|
| Back to top |
|
 |
mickey08
Guru
Joined: 14 May 2003
Posts: 319
Location: france / reims
|
| Posted: Tue Dec 16, 2003 11:28 am Post subject: Re: [reseau] installer un fire-wall |
|
|
| Admin-galere wrote: |
suis-je alcoolique??
|
souffle un peu pour voir 
_________________
pom pom powa |
|
| Back to top |
|
|
yuk159
Veteran
Joined: 18 Apr 2003
Posts: 1803
Location: noumea ,nouvelle-caledonie
|
|
| Back to top |
|
|
Admin-galere
Apprentice
Joined: 04 Nov 2003
Posts: 206
Location: Paris
|
| Posted: Tue Dec 16, 2003 12:41 pm Post subject: merci |
|
|
c donc pas la meme facon de les nommer...
ha les petits malins!! 
Mais on peut les trouver ou??
code maturity level option??
loadable module support
processor type and features??
..
Sinon le site de lea, je vis deja dessus  |
|
| Back to top |
|
|
yuk159
Veteran
Joined: 18 Apr 2003
Posts: 1803
Location: noumea ,nouvelle-caledonie
|
| Posted: Tue Dec 16, 2003 1:13 pm Post subject: |
|
|
Dans Networking Options et IP:Netfilter Configuration
[EDIT] Tu obtiendras la configuration de netfilter que quand tu auras coché
Network paquet filtering dans le menu Networking Options
Désolé j'ai pas été très clair la première fois 
_________________
The box said: "Requires Windows 98/2000/XP/NT, or better."
So, I installed LINUX!
Instagram
Last edited by yuk159 on Tue Dec 16, 2003 1:19 pm; edited 1 time in total |
|
| Back to top |
|
|
Admin-galere
Apprentice
Joined: 04 Nov 2003
Posts: 206
Location: Paris
|
| Posted: Tue Dec 16, 2003 1:18 pm Post subject: |
|
|
ca peut sembler incroyable mais je n'ai pas cette proposition, j'ai bien networking options mais pas l'autre.
Comment est ce possible? ai-je mal configure qqchose? |
|
| Back to top |
|
|
yuk159
Veteran
Joined: 18 Apr 2003
Posts: 1803
Location: noumea ,nouvelle-caledonie
|
| Posted: Tue Dec 16, 2003 1:20 pm Post subject: |
|
|
up
_________________
The box said: "Requires Windows 98/2000/XP/NT, or better."
So, I installed LINUX!
Instagram |
|
| Back to top |
|
|
Admin-galere
Apprentice
Joined: 04 Nov 2003
Posts: 206
Location: Paris
|
| Posted: Tue Dec 16, 2003 1:21 pm Post subject: |
|
|
ok desole, j'ai mal fait un truc c bon j'ai trouve ipchains.
Merci car vraiment je voyais pas ...
c pas de bol qu'il faille cocher qqchose pour que ca s'affiche 
Je passe pour un naze! |
|
| Back to top |
|
|
yuk159
Veteran
Joined: 18 Apr 2003
Posts: 1803
Location: noumea ,nouvelle-caledonie
|
| Posted: Tue Dec 16, 2003 1:24 pm Post subject: |
|
|
iptables tu veux dire ?
Et, non t'inquitete pas tu passe pas pour un naze
_________________
The box said: "Requires Windows 98/2000/XP/NT, or better."
So, I installed LINUX!
Instagram |
|
| Back to top |
|
|
Admin-galere
Apprentice
Joined: 04 Nov 2003
Posts: 206
Location: Paris
|
| Posted: Tue Dec 16, 2003 1:40 pm Post subject: |
|
|
oui iptables
je le cherchais depuis ce matin: j'ai epluché chaque option!!!
tu me sauves je finissais par croire que j'etais dingue!
MERCI!!! |
|
| Back to top |
|
|
Admin-galere
Apprentice
Joined: 04 Nov 2003
Posts: 206
Location: Paris
|
| Posted: Tue Dec 16, 2003 1:50 pm Post subject: |
|
|
| Quote: | Si vous désirez re-compiler votre kernel, il faut spécifier les options nécessaires au fonctionnement d'iptables.
Les options suivantes doivent êtres activées en module (M) ou dans le kernel (Y) :
CONFIG_PACKET
CONFIG_NETFILTER
CONFIG_IP_NF_CONNTRACK
CONFIG_IP_NF_FTP
CONFIG_IP_NF_IRC
... |
c'est sur le site de lea mais je ne vois pas bien si cest pareil que de selectionner iptables et recompiler le noyau.
puis apres je vais faire un emerge iptables
C'est bien ca?? |
|
| Back to top |
|
|
Koon
Retired Dev
Joined: 10 Dec 2002
Posts: 518
|
|
| Back to top |
|
|
Admin-galere
Apprentice
Joined: 04 Nov 2003
Posts: 206
Location: Paris
|
| Posted: Tue Dec 16, 2003 3:28 pm Post subject: |
|
|
Merci mais je voulais vraiment iptable car c'est un imperatif de mon chef.
Le pb c'est que je ne voit pas ce que c'est tous les config_packet, config_netfilter,...
j'ai bien selectionné IpNetfilter et iptables avant de compiler le noyau cependant, je ne vois pas si je fais ce qu'il faut ou pas.
est ce que le guide de lea:
http://lea-linux.org/reseau/iptables.php3
va aussi pour une gentoo? Car c'est a la base pour une red hat...
Pouvez-vous me conseiller?
merci d'avance |
|
| Back to top |
|
|
yoyo
Bodhisattva
Joined: 04 Mar 2003
Posts: 4273
Location: Lyon - France
|
| Posted: Tue Dec 16, 2003 4:22 pm Post subject: |
|
|
Pour savoir si tu as bien configurer ton noyau (si tu as bien sélectionné les options données par lea-linx) :
soit tu édites "/usr/src/linux/.config" et tu cherches les lignes qui t'intéressent,
soit tu fais un "grep CONFIG_etc. /usr/src/linux/.config" pour chaque option (casse importante).
Pour la config du noyau, il ne doit y avoir aucune différence entre les distributions linux; pour le reste, je ne suis pas un spécialiste mais mis à part le "rpm -Uvh" à remplacer par un "emerge", je pense que le reste est applicable à Gentoo (et autre)...
_________________
La connaissance s'accroît quand on la partage.
JCB |
|
| Back to top |
|
|
Admin-galere
Apprentice
Joined: 04 Nov 2003
Posts: 206
Location: Paris
|
| Posted: Tue Dec 16, 2003 4:26 pm Post subject: |
|
|
ok merci je vais tenter.
Je me demandais car souvent, c'est pas pareil entre gentoo et les autres distributions.
POur le emerge c'est bon mais les modules a charger c'est pas encore ca... ;o)
en effet modprobe ne semble pas adequat... que faire??? |
|
| Back to top |
|
|
yoyo
Bodhisattva
Joined: 04 Mar 2003
Posts: 4273
Location: Lyon - France
|
| Posted: Tue Dec 16, 2003 4:37 pm Post subject: |
|
|
| Admin-galere wrote: | | en effet modprobe ne semble pas adequat... que faire??? |
Si modprobe ne fonctionne pas, c'est que tu n'as pas compilé les modules dans ton noyau courant.
Si tu les as compilés en dur (option Y dans le fichier ".config"), les "modprobe" sont inutiles car il permettent de charger les modules (compilés en dur = inclus dans le noyau => pas de modules). Tu peux sauter cette étape des modprobes (à condition d'être sur d'avoir bien tout chargé).
En espérant avoir été clair .
_________________
La connaissance s'accroît quand on la partage.
JCB |
|
| Back to top |
|
|
Admin-galere
Apprentice
Joined: 04 Nov 2003
Posts: 206
Location: Paris
|
| Posted: Mon Dec 22, 2003 8:05 am Post subject: |
|
|
oui merci de m'aider. je vais verifier si j'ai ecrit en modules ou en dur.
Cependant, je ne vois toujours pas les options pre-citees a cocher dans le kernel...
Alors si qqun peut me dire s'il s'agit d'options a cocher ou est-ce une petite astuce pour me rendre chevre??
A bientot... |
|
| Back to top |
|
|
Admin-galere
Apprentice
Joined: 04 Nov 2003
Posts: 206
Location: Paris
|
| Posted: Mon Dec 22, 2003 8:11 am Post subject: |
|
|
J'ai fait comme Yoyo m'a dit. Hélas, le module n'est pas là a ce qu'il semblerait.
grep CONFIG_PACKET /usr/src/linux/.config
on me repond:
CONFIG_PACKET=y
# CONFIG_PACKET_MMAP is not set
Peut etre devrais je re selectionner mes modules ds le noyau et le re compiler....
QU'en pensez vous?? |
|
| Back to top |
|
|
yoyo
Bodhisattva
Joined: 04 Mar 2003
Posts: 4273
Location: Lyon - France
|
| Posted: Mon Dec 22, 2003 9:20 am Post subject: |
|
|
| Admin-galere wrote: | J'ai fait comme Yoyo m'a dit. Hélas, le module n'est pas là a ce qu'il semblerait.
grep CONFIG_PACKET /usr/src/linux/.config
on me repond:
CONFIG_PACKET=y
# CONFIG_PACKET_MMAP is not set |
Il te sembles mal ...
Ici, tu as "CONFIG_PACKET=y", cela signifie que cette option est inclues dans le noyau ("y") et pas en module (dans ce cas, tu aurais eu ""CONFIG_PACKET=M").
Ceci est décrit sur la page de lea-linux que tu donnes en lien.
Par contre, le support de "CONFIG_PACKET_MMAP" n'est pas activé. Mais il n'est pas cité sur lea-linux. Je pense que tu n'en as pas besoin.
EDIT : apparemment, c'est "grep" qui t'as induit en erreur.
"grep xx yy" recherche les caractères "xx" dans le fichier "yy" en tenant compte de la casse et affiche toutes les lignes correpondantes.
Essaie un "grep CONFIG /usr/src/linux/.config") et regarde le man de grep.
_________________
La connaissance s'accroît quand on la partage.
JCB |
|
| Back to top |
|
|
Admin-galere
Apprentice
Joined: 04 Nov 2003
Posts: 206
Location: Paris
|
| Posted: Mon Dec 22, 2003 9:51 am Post subject: |
|
|
avis a la population:
Voila je dois installer un firewall. Au debut gt parti pour installer iptables, puis la je me tatais pour shorewall car c'est censé etre un peu plus simple car il y a un générateur de regles.
Hélas, la doc n'est pas aussi fournie que ce que j'avais espere...
Puisque pour installer shorewall il faut installer iptable, c'est peut etre mieux d'installer directement iptable et voila. non??
Merci de votre aide! |
|
| Back to top |
|
|
mickey08
Guru
Joined: 14 May 2003
Posts: 319
Location: france / reims
|
| Posted: Mon Dec 22, 2003 11:41 am Post subject: |
|
|
en fait shorewall est un peu une interface pour iptables ... enfin du moins c'est ce que j'en ai compris.
_________________
pom pom powa |
|
| Back to top |
|
|
Bastux
Guru
Joined: 15 Dec 2002
Posts: 369
Location: France - Paris
|
| Posted: Mon Dec 22, 2003 12:53 pm Post subject: |
|
|
Petit problème avec IPTABLES
je me demande si c'est normal.
J'ai entré tout un tas de règles sympa, mais à l'arrivée quand je tape :
pour lister toutes mes règles, j'ai ça :
| Code: |
...
Chain OUTPUT (policy DROP)
target prot opt source destination
ACCEPT all -- anywhere anywhere
ACCEPT all -- anywhere anywhere
ACCEPT tcp -- anywhere anywhere multiport dports www,https state NEW,RELATED,ESTABLISHED
ACCEPT tcp -- anywhere anywhere tcp spts:1024:65535 dpts:1024:65535 state RELATED,ESTABLISHED
...
|
entres autres, alors que j'ai bien saisi mes interfaces, je tombe quand même sur "source"-> anywhere et "destination"-> anywhere.
Pour info, j'ai suivi le script de lea http://lea-linux.org/reseau/murdefeu.php3
C'est normal ou je me suis planté quelque part?
ça me parait pas trop normal le ACCEPT all -- anywhere anywhere |
|
| Back to top |
|
|
Koon
Retired Dev
Joined: 10 Dec 2002
Posts: 518
|
| Posted: Mon Dec 22, 2003 1:00 pm Post subject: |
|
|
As-tu bien défini $INTERNAL_IF et $EXTERNAL_IF dans ton script ? Si non, ça doit être remplacé par rien et donc concerner toutes les interfaces...
[EDIT] Poste ton script sinon
-K |
|
| Back to top |
|
|
Bastux
Guru
Joined: 15 Dec 2002
Posts: 369
Location: France - Paris
|
| Posted: Mon Dec 22, 2003 1:02 pm Post subject: |
|
|
| Koon wrote: | As-tu bien défini $INTERNAL_IF et $EXTERNAL_IF dans ton script ? Si non, ça doit être remplacé par rien et donc concerner toutes les interfaces...
-K |
j'ai suivi le script à la lettre et les interfaces correspondait déjà.
Je vais recommencer en saisissant carrément les interfaces mais à priori c'est pas ça...  |
|
| Back to top |
|
|
Admin-galere
Apprentice
Joined: 04 Nov 2003
Posts: 206
Location: Paris
|
| Posted: Mon Dec 22, 2003 1:06 pm Post subject: |
|
|
pour ma part, je tente de suivre le tutoriel de LEA aussi mais cette fois sur les iptables et je ne sais pas ou ecrire les regles dans /etc/rc.d/init.d
Mais ce fichier n'existe pas chez moi!!
Aie aie aie c ien complique pour le petit noob que je suis... |
|
| Back to top |
|
|
|
French
