• [^] # Re: Documentation !

    Posté par . En réponse à la dépêche Conférence: Firewall et sécurité d'un réseau personnel sous Linux. Évalué à 1.

    Je confirme !
    cependant, ce tutoriel ne présente pas toutes les posibilités de netfilter
    (c'est marqué dedans), et il est nécessaire de charger le HOWTO
    des nouvelles cibles, disponible sur www.netfilter.org.

    Personnellement, j'ai utilisé la structure présentée dans les exemples finaux,
    utilisé les cibles conntrack et ajouté une méthode de filtres standards
    comme celle présentée sur http://www.cgsecurity.com(...) , combinée à des
    filtres "par application" (c-à-dire quels ports doivent être passants et
    dans quel sens entre un client et un serveur ou entre deux serveurs de
    l'appli "n") de mon cru pour monter un truc à partir de floppyfw qui tienne
    la route.

    chemin -> filtre d'appli -> filtres standards (tcp, udp...) -> paquet accepté
    | ^
    |-------------- conntrack --------------------------------------|

    Ce qui donne (de mémoire) une suite de :

    #######
    # 1.4 chemins
    #######

    #1-4-1 ext-dmz1
    ######
    IPT="$IPTABLES -A ext-dmz1 "

    $IPT -p tcp -s 10.1.2/24 -d $SERVEUR_TOTO -j toto_cli_svr
    ....
    $IPT -j log_bads

    #1-4-2 int1-dmz1
    #########
    IPT="$IPTABLES -A int1-dmz1 "

    (etc)

    Si je trouve le temps un jour, je tâcherai de formaliser tout ça sans pour autant
    trahir le « secret professionnel » :)

    TH.