Je confirme !
cependant, ce tutoriel ne présente pas toutes les posibilités de netfilter
(c'est marqué dedans), et il est nécessaire de charger le HOWTO
des nouvelles cibles, disponible sur www.netfilter.org.
Personnellement, j'ai utilisé la structure présentée dans les exemples finaux,
utilisé les cibles conntrack et ajouté une méthode de filtres standards
comme celle présentée sur http://www.cgsecurity.com(...) , combinée à des
filtres "par application" (c-à-dire quels ports doivent être passants et
dans quel sens entre un client et un serveur ou entre deux serveurs de
l'appli "n") de mon cru pour monter un truc à partir de floppyfw qui tienne
la route.
[^] # Re: Documentation !
Posté par thomas harding . En réponse à la dépêche Conférence: Firewall et sécurité d'un réseau personnel sous Linux. Évalué à 1.
cependant, ce tutoriel ne présente pas toutes les posibilités de netfilter
(c'est marqué dedans), et il est nécessaire de charger le HOWTO
des nouvelles cibles, disponible sur www.netfilter.org.
Personnellement, j'ai utilisé la structure présentée dans les exemples finaux,
utilisé les cibles conntrack et ajouté une méthode de filtres standards
comme celle présentée sur http://www.cgsecurity.com(...) , combinée à des
filtres "par application" (c-à-dire quels ports doivent être passants et
dans quel sens entre un client et un serveur ou entre deux serveurs de
l'appli "n") de mon cru pour monter un truc à partir de floppyfw qui tienne
la route.
chemin -> filtre d'appli -> filtres standards (tcp, udp...) -> paquet accepté
| ^
|-------------- conntrack --------------------------------------|
Ce qui donne (de mémoire) une suite de :
#######
# 1.4 chemins
#######
#1-4-1 ext-dmz1
######
IPT="$IPTABLES -A ext-dmz1 "
$IPT -p tcp -s 10.1.2/24 -d $SERVEUR_TOTO -j toto_cli_svr
....
$IPT -j log_bads
#1-4-2 int1-dmz1
#########
IPT="$IPTABLES -A int1-dmz1 "
(etc)
Si je trouve le temps un jour, je tâcherai de formaliser tout ça sans pour autant
trahir le « secret professionnel » :)
TH.