Lokkit et parefeu

Cyrilleb · Février 20, 2016, 5:26pm

Bonjour,
En matière de Firewall, que pensez-vous de lokkit. C’est juste pour quelques PC derrière une liveBox, avec serveur intranet qui ne doit pas etre visible de l’extérieur.
Je n’ai pas les compétences pour écrire les règles d’iptable et donc je regardais les firewalls avec GUI…
C’est à votre avis suffisant ?

Ou est ce que ce que l’on trouve dans trucs et astuces suffit :
Pour un parefeu sur une machine serveur dhcp :

[quote]iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT ACCEPT
iptables -A INPUT -i ethx -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -p icmp -j DROP
iptables -A INPUT -p tcp -m tcp --dport 20 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 21 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 80 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 631 -j ACCEPT
iptables -A INPUT -p tcp -m tcp --dport 5222 -j ACCEPT
iptables -A FORWARD -i ethy -o ethx -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -o ethy -j ACCEPT
iptables -t nat -A POSTROUTING -o ethy -j MASQUERADE

Où
ethx correspond à l’interface du LAN
et
ethy correspond à l’interface relié à la truc-box [/quote]

Dans ce cas, je ne comprend pas trop la différence entre ethx et ethY
Sont-ce des IP ?

Merci,
Cyrille

mattotop · Février 20, 2016, 5:26pm

non, ce sont comme te l’indique le tuto les noms des interfaces de ta machine.
ça m’a l’air correct, sauf que j’affinerais les lignes d’ouverture des ports en entrée:iptables -A INPUT -p tcp -m tcp --dport XX -j ACCEPT pour ne laisser que les ports qui me concernent vraiment (20 et 21 si tu as un serveur ftp, 80 si tu as un serveur web, 22 pour ssh, etc).

Cyrilleb · Février 20, 2016, 5:26pm

bonjour,
OK pour ethy : chez moi c’est soit eh0 ou wlan0
par contre ethx correspond à l’interface du LAN, c’est la livebox qui fait office de routeur donc je ne sais pas trop quoi mettre ?
Merci
cyrille

ricardo · Février 20, 2016, 5:26pm

pour + de certitude, donne ici

ifconfig

Cyrilleb · Février 20, 2016, 5:26pm

Bonjour
Voici une sortie de ifconfig

[code]tuxpanic:/home/cyrille# ifconfig
eth0 Link encap:Ethernet HWaddr 00:1d:09:37:f9:d2
UP BROADCAST MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)
Interruption:16

lo Link encap:Boucle locale
inet adr:127.0.0.1 Masque:255.0.0.0
adr inet6: ::1/128 Scope:Hôte
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:116 errors:0 dropped:0 overruns:0 frame:0
TX packets:116 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
RX bytes:6752 (6.5 KiB) TX bytes:6752 (6.5 KiB)

wlan0 Link encap:Ethernet HWaddr 00:1f:3c:17:51:e4
inet adr:192.168.1.10 Bcast:192.168.1.255 Masque:255.255.255.0
adr inet6: fe80::21f:3cff:fe17:51e4/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:826 errors:0 dropped:0 overruns:0 frame:0
TX packets:727 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:943245 (921.1 KiB) TX bytes:87660 (85.6 KiB)

wmaster0 Link encap:UNSPEC HWaddr 00-1F-3C-17-51-E4-00-00-00-00-00-00-00-00-00-00
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)

[/code]

Merci
Cyrille

ricardo · Février 20, 2016, 5:26pm

ce qui est bizarre, c’est que je ne vois pas d’adresse inet sur eth0 ?

EDIT : c’est le ifconfig du serveur ou d’un client ?

Cyrilleb · Février 20, 2016, 5:26pm

C’est le laptop qui est branché sur ma livebox
Dessus j’ai apache, php, mysql, nfs et cups
(Je refile un ifconfig (avant c’était un ifconfig sous sid, mais elle n’est pas encore tout àa fait configurée correctement)

[code]cyrille@tuxpanic:~$ ifconfig
eth0 Lien encap:Ethernet HWaddr 00:1D:09:37:F9:D2
UP BROADCAST MULTICAST MTU:1500 Metric:1
Packets reçus:0 erreurs:0 :0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
Octets reçus:0 (0.0 b) Octets transmis:0 (0.0 b)
Interruption:16

eth1 Lien encap:Ethernet HWaddr 00:1F:3C:17:51:E4
inet adr:192.168.1.10 Bcast:192.168.1.255 Masque:255.255.255.0
adr inet6: fe80::21f:3cff:fe17:51e4/64 Scope:Lien
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
Packets reçus:195 erreurs:0 :7 overruns:0 frame:0
TX packets:223 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:1000
Octets reçus:111757 (109.1 KB) Octets transmis:28478 (27.8 KB)
Interruption:17 Adresse de base:0xa000 Mémoire:fe7ff000-fe7fffff

lo Lien encap:Boucle locale
inet adr:127.0.0.1 Masque:255.0.0.0
adr inet6: ::1/128 Scope:Hôte
UP LOOPBACK RUNNING MTU:16436 Metric:1
Packets reçus:70 erreurs:0 :0 overruns:0 frame:0
TX packets:70 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 lg file transmission:0
Octets reçus:5374 (5.2 KB) Octets transmis:5374 (5.2 KB)
[/code]
ip livebox : XX.XX.XXX.1
ip laptop : XX.XX.XXX.10
autre PC : XX.XX.XXX.11

PascalHambourg · Février 20, 2016, 5:26pm

[Bis repetita]
Expose d’abord tes besoins fonctionnels en terme de flux réseau, ensuite on pourra éventuellement t’aider. Là c’est comme demander “j’ai besoin d’un ordinateur, est-ce que tel modèle est bien ?” sans autre précision.

mattotop · Février 20, 2016, 5:26pm

[quote=“Cyrilleb”]bonjour,
OK pour ethy : chez moi c’est soit eh0 ou wlan0
par contre ethx correspond à l’interface du LAN, c’est la livebox qui fait office de routeur donc je ne sais pas trop quoi mettre ?
Merci
cyrille[/quote]Si tu n’as pas de réseau local, supprimes ce qui parle d’ethx.

Cyrilleb · Février 20, 2016, 5:26pm

Bonjour
Mes besoins :
2 PC derrière une livebox.
Sur l’un des PC j’ai apache, mysql, nfs
La libebox : je n’ai rien touché, je pense donc qu’elle fait deja office de firewall
mais on m’a conseillé d’entre mettre un local sur le PC

Donc, le serveur APACHE : c’est juste en interne pour du développement WEB
Je voudrais juste que les 2 PC communiquent entre eux et que personne de l’extérieur puisse “entrer”. Deplus, je voudrais que ces PC aient un accès au net.

Voilà, merci
Cyrille

mattotop · Février 20, 2016, 5:27pm

ça c’est le problême de ta livebox, ton serveur n’a rien à voir là dedans et la dernière remarque que j’ai faite reste valable.
Par contre, dans ton pare feu, tu peux laisser l’INPUT sur le port 80 en ACCEPT.

PascalHambourg · Février 20, 2016, 5:27pm

[quote=“Cyrilleb”]
La libebox : je n’ai rien touché, je pense donc qu’elle fait deja office de firewall[/quote]
En matière de sécurité, il vaut mieux ne pas présumer.

Donc sur chaque PC, autoriser :

toutes les connexions sortantes
les connexions entrantes uniquement depuis l’autre PC.

iptables -t filter -P INPUT DROP
iptables -t filter -P FORWARD DROP
iptables -t filter -P OUTPUT ACCEPT
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A INPUT -s $adresse_ip_autre_pc -j ACCEPT

En supposant que le réseau local est sûr, et notamment que le wifi est désactivé ou bien sécurisé (WPA).