Voici mes règles.
Vous en pensez quoi ?
 

 
Je dois aussi ajouter un accès au FTP depuis le net.
Ces règles iraient ?
iptables ?A INPUT ?p tcp -?dport 21 ?j ACCEPT
iptables ?A OUTPUT ?p tcp -?sport 21 ?j ACCEPT
iptables ?A INPUT ?p tcp ?m state -?state RELATED,ESTABLISHED ?-dport 1024:65535 ?j ACCEPT
iptables ?A OUTPUT ?p tcp ?m state -?state RELATED,ESTABLISHED ?-sport 1024:65535 ?j ACCEPT

en securité on ne parle pas d'abord technique ou codage de regle (a la limite iptable, pf ipf ipchains netsceen etc ... on s'en bat), on parle concept, brique, regles de mix techno, isolement, archi reseal ...
 
Alors commence par nous dire ce que tu protéges , pourquoi, tes flux, et ou !!!
 
ensuite on pourra te repondre COMMENT, et eventuellement juge tes regles.
 

 
edit : pour te donner un chti exemple, le netfilter c pas moi qui l''ai crée , ni connait toutes ses failles (je laisses ca au vrai hacker), ni connait la synthxe iptables par contre la ou je peux donner une tres bonne protection chez moi ou pour les entreprise audité c en apportant les bonnes briques aux bons endroits ....
 
On appelle ca l'architecture securisé.
... de toute façon inutile de se battre contre les hakcer ils ont toujours un coup d'avance ... alors autant etre hyper logique et monter le max de barriere avant le noyau a protéger , non ?
 
A++

Enorme.

vu que la policy est a drop par défaut c'est déja bien
ensuite tu ouvres ce dont tu as besoin donc je ne vois pas de probleme particulier sachant que tu n'ouvres (a priori )que ce que tu veux

c n'est parcque tu dropes que tu actives les protections du noyau !!!
 
Si la config du fw ca se limite a un simple drop all en debut de parsing des regles , on serait tous expert secu ds ce cas.
 
ds ton script tu dois aussi activer les flags de protection du noyau (SYN flood, icmp etc, martian, ...)
 
je lui conseille fwBuilder qui permet de faire ca de façon visuelle style les produits Fw-1.

Re-Enorme.

 

le gen il a : internet -- firewall -- qq pcs
 
dites la j'ai pas de firewall, suis je en dangé de mort pour autant

pétrole a encore frappé

dis donc, tu interviens de fort belle maniére sur un forum d'aide toi !
chapeau, bas.

c'est vrai que tu es l'exemple de la personne maîtrisant son sujet ayant l'énorme avantage sur nous tous de faire de la prod'

et alors ?
c pas parcque tu es at home que tu dois mal te proteger garçon.
 
si clockover prend la peine de tapper ds du iptables .. c qu'il attends aussi bien qu'un petite ipcop (que j'ai d'ailleurs ) ?
 
sinon je vois pas le but de s'emmerder avec du iptables, car un ipcop a été 100 fois mieux etudié que les 20 regles qui se battent en duel ci-dessus ...
 

change de disque , tu vas rayer.

sysctl.conf + verrouillage
 
à ce compte là, il lui faut au moins du grsec voire si on veut être parano jusqu'au bout interdire les modules et tout foutre en dur.
 
+ une sécurisation de tous les services (avec xinetd en + qaund c'est possible) + un chroot +..+...  

entre autres ... oui entre autres.
 

tu peux détailler cela pourrait surement nous interresser dans le but de sécuriser nos machines

toi tu comprends vraiment rien au concept de la securité , tu buttes comme un gros borné sur la technique.
 
toi vouloir securiser machine , moi comprendre.
 
 

et ben justement éclaire nous plutôt que de lancer des phrases dans le vide comme ça

 
+1    
 
tout à fait d'accord avec toi.
 
C'est parce qu'on a vu qqpart qu'il fallait mettre un FW ou un truc du genre qu'il faut se lancer tête baissé là dedans.
 
Un bon schéma explicatif des besoins c'est toujours un bon départ  

oui tout a fait
vu que tu es le seul ici a faire de la prod    
mais cela serait bien que tu détailles comment tu procèdes afin que l'on puisse tout s'en inspirer un minimum .

vazy mika !!!!!!!!!!!

IL FAUT  surtout placer les éléments au bon endroit : c la base des regles d'isolement que l'on apprend en sécurité ...
 
Mais fioul est nul, tt le monde le sait ici.
 
des exemples pour mon gros mikala et gentil airbag(T) ?
 
ok :
 
           serveur(web-ftp-mule et son fw intégré)
               |
freebox---ipcop----===switch100Mbits====
                            |       |       |
                        PC1     PC2     XBOX
 
le serveur est un win2003, les pc sous xp et mdk 10.0, la clef de voute est l'ipcop qui fait royalement son job.
 
et si tu veux dezinguer mon archi c ne me gene pas, car y'aura la dmz qui va gicler ..et elle n'est pas ds mon lan donc , m'en fous royalement . J'ai un ghost du serveur en 8 mn chrono il est a nouveau up ...

maintenant que tu nous a fait juste un schéma sans rien d'autre tu as j'imagines lu le sujet du post hein ?
le monsieur demandais une information sur ses regles iptables hein ... juste cela
Edit : mesurant 1m90 & pesant que 82kg je ne m'estime pas gros merci

et je lui reponds juste cela : fwbuilder.
 
la synthaxe iptables c pour ceux qui ont du temps a perdre pour gerer un fw .
Et je pense qu'on est tous d'accord pour dire que si on met un fw c pour se proteger , vous etes d'accord la au moins  ? (vas savoir ...:d)
Perso j'ai fait un peu d'iptables y'a 2 ans sur rh7.2 , pour montrer que je savais faire maintenant mon niveau a evoluer ... je prefere batir la logique de defense du reseau, plutot que de batailler sur des regles de base.
c pour ca que je prefer bucher openbsd .... - vulnerable car deja moins connu ..
 
entre autres je filtre les mail des ipcop ..je ne sais pas ce qu'est un virus depuis 3 ans chez moi. desolé.

[snip le blabla de l'expert en sécurité qui ose comparer son ipcop de lamah à FW Checkpoint]
 
Pas de virus depuis 3 ans chez toi ? C'est p-e parce que la marmotte emballe bien non ?

De toute facon Paquet Filter est meilleur que iptables alors autant installer OpenBSD, franchement ...

 
Moi non plus pourtant je suis sous winXP sans firewall ni antivirus et je ne fais aucune mise a jour.. Si ce n'est pour Blaster quand meme =)
 
 
 
Le vendredi ca se lache =)

   
si un monsieur qui fait de la prod utilise ipcop c'est bien parce que c'est secure alors halte les ragots

   je fais confiance à axey  
 
De toute facon ton ipcop de pequin a pas scrub in all
 
 
(prendra, prendra pas ?)

comparer ipcop et fw-1 ?
tu connais les deux ?
 
moi oui, et je puis t'assurer qu'un fw-1 sur une pile IP w2000 , c pas le top ...
si tu me parle d'u netscreen ok la c plus robuste.
 
fw-1 c le ms de la secu c'truc !!!

w2000 ?

ben oui coco, fw-1 (ou les NG) c un fw qui est AUSSI soft, il s'installe sur unix , windows 2000,  N4 etc ...
 
eh ben y' pas des experts secu ici, ca me fait plaisir d'etre rembarré sur OSA , c au moins de la qualité !!!  

déjà tu commence par éviter de m'appeler coco, on n'a pas gardé les cochons ensemble !
 
ensuite tout le monde ne sait pas forcément ce que signifie le sigle w2000 (windows 2000 probablement puisque tu n'as pas répondu à la question).
 
et pour ton laius sur les experts sécurité ; je ne vois pas ce qu'il a à faire ici.  
 
tu râles régulièrement que la communauté Linux (OSA en particulier) n'est pas très ouverte, que les GUI sont pas suffisantes, que la console c'est pas pour les gens qui font de la prod et là, une personne demande si ses règles iptables sont bonnes et qu'est ce que tu trouves à lui répondre ?
 
un charabia "d'expert en sécurité" qui ne va surement rien lui apprendre.  
tu trouves vraiment que tu as réussi à l'aider sur ce coup ? il sait quoi maintenant sur la valeur de ses règles ? ça ne t'as pas effleuré qu'il pouvait avoir sécuriser sa machine auparavant ou qu'il n'avait pas besoin qu'on vienne lui prendre la tête avec des choses que de toute façon il ne pourra pas mettre en oeuvre puisqu'il n'a que 2 machines ?

qui te dit qu'il n'est pas en train d'installer fwbuilder ?
surtout si il n'est pas expert ...
 
soit moins obtu mon canard, ca aide.
car les experts secu que je frequentent on autre chose a faire que de pisser de l'iptables ... mais ca aussi tu ne veux pas le voir.
 
 

putain j ai ratté ca
 
a cause des transports ca

qui quoi ou ?
 
quand tu va à la pharmacie pour demander si tu peux prendre 2 efferalgan 1g en même temps ; t'es vachement avancé quand je te répond que la toxicité du paracétamol est lié à la première voie de dégradation qui conduit à un métabolite hépatotoxique lequel fini par épuiser complètement les réserves de glutathion qui sert à le détoxifier. Et qu'ensuite je t'explique qu'il faut aller sur www.theriaque.org pour avoir des infos sur les médocs.  
Tu fais quoi maintenant, tu les prends tes 2 comprimés ou pas ?
 
tu as répondu exactement de la même façon, c'est à dire complètement à côté de la plaque.

il y aura peut-être une rediffusion

 
je les prend pas    
(edit : enfin j'en prends qu'un seul)

snif, en cours pendant ce grand moment ...

Une minute de silence pour l'auteur de ce topic qui s'est sucidé après avoir lu la première réponse!