Re: firewall+proxy

Top Page

Reply to this message
Author: Thierry de Villeneuve
Date:  
To: guilde
CC: system
Subject: Re: firewall+proxy
Hi there (NoNo ;-) ),

Ta question est multiple.

1/ Si tu veux installer une boîte Linux comme gateway sur ton cable-modem, prend exemple sur ce qui se fait ici aux US:

Il y a deux fournisseurs sur les US qui utilisent 2 techniques légèrement differentes, mais c'est tjs du DHCP. L'une (mon ISP) est Road Runner de Time Warner qui utilise des routeurs Toshiba un peu particuliers car ils ont besoins d'un "login" pour autoriser le passage des paquets, mais c'est du DHCP quand même. Pour info, j'ai la même adresse depuis un mois déjà.

L'autre est COX, qui délivre "presque" tjs la même adresse, par DHPC. Il y a aussi MediaOne, qui fourni un service similaire à COX, me suis-je laissé dire.

Suivant la config de ton ISP câble, il te faudra peut-être changer ton DHCP pour qu'il fournisse ou non l'adresse qu'il a recu au derneir etablissement d'adresse (si j'ai bien compris la difference entre les services).

Regarde la littérature sur ces sites là:

http://www.kernel-panic.com/
http://www.kernel-panic.com/user_files/cable-linux.html

Notamment l'excellent collègue Phil Karn: http://people.qualcomm.com/karn/rr/ pour Time Warner.
Et http://www.kernel-panic.com/user_files/cox.at.home.html

Tu y trouveras notamment le dhcp modifié, mais je crois avoir lu qq part qu'il est bon de garde le dhcp de la RedHAt 5.2

---

Pour ton problème de packet filtering, regarde la conférence de mon collègue du San Diego Linux SIG:

http://www.kernel-panic.com/presentations/ipfwadm.html

---

Pour tes questions de modules, voici le my.config de ma boite Linux configurée en gateway (dont la carte mère a flashé entrainant la perte de mon HD, avant même d'avoir put mettre cette boite sur Road Runner. Mais elle tournait en Gateway au boulot).

Pense qu'il faut que tu ajoutes IPV4, mais tu as la question posée normalement lors de l'install de RedHat 5.2

http://dt043n55.san.rr.com/linux/

---

Au niveau sécurité, il vaut mieux construire un firewall sur plusieurs niveaux. La première machine est le bastion qui a pour but de proteger la machine qui va supporter tes services. Il ne faut pas mettre tous ses oeufs dans le même panier; les tables de routages sont facilement accessibles. Le mieux est un sandwitch à trois couches mais là il ya toutes les écoles et je n'ai pas trop manipé la-dessus.

Pour une config maison, c'est peut-être un peu lourd.

---

Tiens nous au courant de ta manip.

Ici, les gars raflent des vieux 486 NEC pour 90USD chez un casseur local qui a racheté un stock venant d'un porte-avions déclassé !

Moi, faut que je me retrouve une babasse pour remonter ma config. I'll keep you posted.


Thierry de Villeneuve
Guilde, San Diego (euh, ya que moi là-bas de Guilde!)





At 11:04 AM -0800 2/2/99, NoNo wrote:
>Salut,
>
>Ayant bientot le cable (lyonnaise sur Paris), je souhaiterai "securiser"
>mon acces ainsi que celui de mon LAN qui y est connecté, aussi je pense
>installer une RH 5.2 qui servira en gros de passerelle-proxy-firewall vers
>le net. Je crois qu'a l'installation dans cette distrib tout est deja
>compilé et pret a fonctionner. Quelqu'un pourrait-il m'envoyer des exemples
>de fichiers de config quand a la config du firewall, du proxy et du DHCP
>(je vais aussi lire les Howto, je vous le promet !;))
>Il me faudrait des regles du style:
>ipfwadm -l -a deny -P tcp -D  mon_ip 23            pour interdire le telnet
>par ex.

>
>Je n'en ai pas beaucoup (anti back-orifice, anti-telnet, anti-ftp,
>anti-smurf).
>De plus je ne sais pas comment faire avec le "mon_ip", je reçois une
>adresse par le DHCP, faudra-t-il que je mette a jour a chaque fois le
>fichier de config ?
>
>Quand aux modules, comment fonctionnent-ils ? Comment faire avec ICQ ?
>Sachant qu'il ouvre tout comme mirc des ports un peu n'importe comment :(
>
>J'ai une derniere petite question: vaut-il mieux créer un ftp sur le linux
>qui sert de passerelle ou sur une machine de mon LAN ? Je pense que le plus
>securisé, ce serait de le mettre sur une machine differente ... ?
>
>Merci beaucoup
>
>Mister NoNo





=== eom =============================================================
Thierry de Villeneuve                             San Diego, CA 92128
home e-mail thierryv@???                 voice +1 (619) 679-3366
prof e-mail thierry.de-villeneuve@???        fax +1 (619) 679-3395
http://users.abac.com/thierryv/                  http://www.efsd.org/