[Debian] Mise en place d'un NAT-PAT + log du firewall

[Wooley]

Bonsoir à tous,

Dans le cadre de mon TP d'école, je souhaite mettre en place un firewall sous Debian (Sarge).

Actuellement, ma politique est de tout bloquer sauf ce que je ne bloque pas.

Ainsi j'ai mis en place un schéma :

La DMZ est en 172.16.0.0/16

Le site A est en 10.0.0.0/8

Le site B est en 192.168.1.0/24

J'ai paramétré les histoires de filtrage d'ICMP, de serveur web / FTP pour la DMZ, et l'acces en SSH sur le firewall.

Seulement maintenant pour augmenter la sécurité, j'aimerais mettre le service NAT/PAT du coté de la DMZ et du Site A.

Et mettre aussi un log qui me permet de vérifier les actions du firewall (les choses qui ont été jetées et acceptées)

J'ai regarde sur le site de Christian Caleca (http://christian.caleca.free.fr/) mais je pige toujours pas. J'ai tanter le man Iptables mais pareilles y a pas mal de truc que j'ai pas compris.

Merci pour votre future aide

[ChandlerBing82]

bah au niveau du firewall j'ai fait un truc sous Debian avec Iptables c'est très certainement perfectible mais si t'as besoin d'aide demande.

Niveau log voila ce que j'ai dans mon firewall

[fixed]#a mettre au début

$IPT -N LOG_INDROP

$IPT -A LOG_INDROP -j LOG --log-prefix '[iNPUT DROP] : '

$IPT -A LOG_INDROP -j DROP

$IPT -N LOG_OUTDROP

$IPT -A LOG_OUTDROP -j LOG --log-prefix '[OUTPUT DROP] : '

$IPT -A LOG_OUTDROP -j DROP

$IPT -N LOG_FWDROP

$IPT -A LOG_FWDROP -j LOG --log-prefix '[FORWARD DROP] : '

$IPT -A LOG_FWDROP -j DROP

#a mettre à la fin.

$IPT -A INPUT -j LOG_INDROP

$IPT -A OUTPUT -j LOG_OUTDROP

$IPT -A FORWARD -j LOG_FWDROP

[/fixed]

[Wooley]

Gniark, je vais te prendre sur msn, car je pige rien >.<

Ou tout du moins la partie LOG

A noter que ma seule expérience de linux est ce TP donc bon... veuillez pardonnez mon ignorance, que je comble de jours en jours

[thedark]

Par défaut, les logs iptables sont toujours dans /var/log/syslog.

Sinon, tu peux bricoler en augmenter le level des logs (--log-level=4), ensuite tu modifies ton syslogd.conf : kern.=warn -/var/log/kernel/warnings

en principe, tes messages netfilters seront dans /var/log/warning.

tu peux aussi utiliser ulog : http://olivieraj.free.fr/fr/linux/information/firewall/fw-03-09.html bonne lecture

[Wooley]

Merci Thedark,

Justement je regardais le site et il y a un truc que je pige pas dans son exercice II-3 nom du fichier (initialisation2.sh qui est le fichier de correction)

Il initialise les politiques de base des tables et je ne comprends pas pourquoi il fait un -J ACCEPT dans les tables NAT et MANGLE.

Pour moi on devrait plutot faire comme dans la table FILTER, tout bloquer !

[thedark]

Thedark...

du moment que FILTER est bloqué, ce n'est grave. Mais donne le lien direct.

[Wooley]

Arf désolé de t'écorcher à chaque fois, mais j'hésite tout le temps :/

Voici le lien : http://olivieraj.free.fr/fr/linux/information/atelier_netfilter/archives/scripts/solutions/initialisation2.sh

Pour les histoires de log, je penses avoir trouvé. Merci à Chandler

[Exyntigor]

Ce sujet a été déplacé de la catégorie Logiciel vers la categorie Aide Technique par Exyntigor