Lea Linux - Contributions [fr]

Discussion utilisateur:Alvaro

2005-10-26T22:28:54Z

Alvaro : /* Merci Fred */

Morte de rire! on est tous là!!!! Voir les RC ;-). Bisous vieux ronchon. C'est quoi ton nouveau nom ? ;-). [[Utilisateur:Notafish|notafish]] [[Discussion Utilisateur:Notafish| }<';>]] 24 oct 2005 à 23:57 (CEST)
:Salut, Delphine. Merci pour le vieux ronchon ;D Ben oui, je vois qu'on assiste à une migration de wikipédia vers Léa. Byz [[Utilisateur:Alvaro|Alvaro]] 26 oct 2005 à 14:39:23 (CEST)

==This is a small small world==
Isn't it? ;-) [[Utilisateur:Vincent Ramos|Vincent Ramos]] 26 oct 2005 à 14:40 (CEST)

= de Fred =
Salut, Alvaro, je viens de te donner les droits "Editeur" ce qui fait que tu as accès à la version "sans cache" du wiki : clique sur la petite clé anglaise en haut à droite.
= Merci Fred =
Pour m'avoir mis ''éditeur'', je filerais un coup de main ;D celà dit, je ne suis pas sûr que ça marche, pour le moment :
# (Journal des bureaucrates); 20:43:13 . . Fred (Discuter) (Droits de l'utilisateur « Utilisateur:Vincent Ramos » mis à « Editeur »)
# (Journal des bureaucrates); 20:43:00 . . Fred (Discuter) (Droits de l'utilisateur « Utilisateur:Nicola » mis à « Editeur »)
# (Journal des bureaucrates); 20:42:43 . . Fred (Discuter) (Droits de l'utilisateur « Utilisateur:Notafish » mis à « »)
# (Journal des bureaucrates); 20:42:33 . . Fred (Discuter) (Droits de l'utilisateur « Utilisateur:Alvaro » mis à « »)
Je sais pas si Nota et moi-même sommes vraiment des éditeurs. Pour le moment, la clé anglaise me renvoit sur ne fenêtre '''Invite''' avec saisie de login/password comme si je n'étais pas logué, alors que je le suis ;D

Super, ça marche ! Pourtant, vu le log bureaucrate ;D [[Utilisateur:Alvaro|Alvaro]] 27 oct 2005 à 00:28:54 (CEST)

Discussion utilisateur:Alvaro

2005-10-26T22:28:08Z

Alvaro : test

Reseau-secu-firewall

2005-10-26T15:00:58Z

Alvaro : /* <font color="#FF6666">Les Firewalls à filtrage de paquets</font> */ DHCP.

[[Category:Sécurité]]
= Firewall =

<div class="leatitre">Firewall</div><div class="leapar">par Serge (légèrement modifié par Jicé)</div><div class="leadesc">Protégez vous derrière un mur de feu.</div>
----

Ce document a été inspiré du [http://www.freenix.org/unix/linux/HOWTO/Firewall-HOWTO.html Firewall-HOWTO], de l'[http://www.freenix.org/unix/linux/HOWTO/IPCHAINS-HOWTO.html IPCHAINS-HOWTO] et du [http://www.freenix.org/unix/linux/HOWTO-vo/IP-Masquerade-HOWTO.html IP-Masquerade-HOWTO]. C'est la synthèse de ces trois documents pour permettre la mise en place des techniques de Firewalling. Je vous conseille quand même de lire ces HOWTO pour plus de compréhension. Je suppose que vous savez configurer un réseau IP, au cas où jeter un coup d'oeil sur la rubrique [[Reseau-cxion locale-lan|réseau local]]. Il se peut que des erreurs se soient glissées dans cette présentation, de plus je ne pourrai être tenu responsable d'une mauvaise configuration de votre système. La sécurité est un sujet vaste, toujours en évolution et je ne prétends pas vous fournir ici une solution exempte de tout danger. Ce document est à prendre comme une présentation de ces techniques.

'''''<font color="#FF0000">ATTENTION: rubrique non finie, le filtrage plus fin et les techniques de proxy ne sont pas encore décrits.</font>'''''

== Explications ==

<div style="margin-bottom: 0in">Bon qu'est un Firewall ? Si on traduit, cela nous donne « pare-feu » , vous allez me dire « ha bon mon micro me protège du feu ? », bien sûr que non, un Firewall sert en fait à protéger un réseau vis à vis d'un autre ou d'autre réseaux.</div><div style="margin-bottom: 0in">Plusieurs types de Firewall existent et ne travaillent pas de la même façon et n'offrent pas les mêmes sécurités.</div><div style="margin-bottom: 0in">Les Firewall sont de plus en plus utilisés pour protéger les réseaux locaux d'entreprises vis à vis de l'internet. Il s'agit en fait d'une machine qui est reliée vers l'extérieur (Internet) et vers le réseaux local aussi et qui en quelque sorte analyse le trafic réseau qui la traverse pour savoir si oui ou non elle laisse passer ce trafic que ça soit dans un sens ou dans l'autre :</div><blockquote><tt> _ ---- _ ________ +---> PC2</tt><br /><tt> ( ) | | |</tt><br /><tt>( INTERNET )<---->|FIREWALL|<---+---> PC3</tt><br /><tt> (_ _) |________| |</tt><br /><tt> ---- +---> PC4</tt></blockquote>

== Les différents types de Firewall ==

<div style="margin-bottom: 0in">Le Firewall le plus simple est une machine qui possède une connexion vers l'extérieur et une autre sur le réseau local et qui ne transmet pas le trafic réseau d'un réseau à l'autre. Si une machine du réseau local veut accéder vers l'extérieur, elle ouvre en fait une session sur le Firewall, et travaille directement sur cette machine pour accéder vers l'extérieur. De ce fait aucun trafic réseau de l'extérieur ne peut rentrer sur le réseau local.

Vous avez compris les problèmes que cela engendre :

* on travaille directement sur le Firewall donc chaque utilisateur qui va par exemple « naviguer » sur le web vas lancer un nouveau processus « navigateur »,
* on n'a pas accès directement à sa machine avec ses ressources mais à celle du Firewall, et la protection s'arrête juste a une authentification d'utilisateur.

Ce type de Firewall en fait ne filtre absolument rien et peut donc être sujet à la moindre attaque extérieure. En fait il n'est plus utilisé, on va dire que c'est le « Firewall préhistorique » en quelque sorte. Voyons maintenant les types de Firewall utilisés :</div>

=== <font color="#FF6666">Les Firewalls à filtrage de paquets</font> ===

<div style="text-indent: 0.49in; margin-bottom: 0in">Ils travaillent sur les paquets réseaux eux-même. Pour les personnes qui ont des connaissances réseaux, ce type de Firewall travaille sur la couche réseau du modèle OSI. Ils analysent les paquets entrants/sortants suivant leur type, leurs adresses source et destination et les ports. Comme ils travaillent directement sur la couche IP, ils sont très peu gourmands en mémoire.

Avec Linux ce style de filtrage au niveau de la couche IP est intégré directement dans le noyau, il suffit donc d'avoir un 486 avec 8 Mo de mémoire et d'une distribution Linux avec juste un kernel de base et la couche IP pour faire un tel Firewall.

De plus ils sont totalement transparents pour les utilisateurs, pas d'authentification pour aller vers l'extérieur et pas de paramétrages spécifiques sur les machines des utilisateurs. Un désavantage, c'est qu'il n'y a pas d'authentification possible par utilisateur mais par adresse IP. C'est à dire que si l'on veut en interne interdire à certaine personnes d'aller vers l'extérieur ce n'est possible que si l'on connaît l'adresse de la machine de cet utilisateur, on ne peut pas empêcher que la personne aille sur une autre machine et il faut de plus que les machines aient toujours la même adresse, ce qui peut poser problème lorsqu'on on utilise [[DHCP]].

</div>

=== <font color="#FF6666">Les Firewalls Proxy</font> ===

<div style="margin-bottom: 0in">Les Proxy serveur sont utilisés pour contrôler et analyser tout trafic avec l'extérieur. Certains proxies utilisent en plus un cache, c'est à dire qu'ils stockent des données en local, ce qui permet de réduire le trafic réseau, en effet si une même donnée est demandée plusieurs fois, au lieu d'aller la chercher au nouveau vers l'extérieur c'est le proxy lui même qui la fournit. Leur fonctionnement dépend de leur type :</div>

==== <font color="#CC33CC">Proxy d'applications</font> ====

<div style="margin-bottom: 0in">Leur fonctionnement ressemble un peu au fonctionnement du premier Proxy, c'est à dire quand une application d'une machine locale va vers l'extérieur, en fait elle se connecte sur le Proxy et c'est le Proxy lui-même qui va chercher l'information puis la renvoyer vers la machine demandeuse.</div><div style="margin-bottom: 0in">Un exemple : vous voulez récupérer un fichier via FTP sur internet, en fait votre client FTP vas se connecter sur le proxy qui va faire serveur FTP, le Proxy va en même temps ouvrir une session FTP sur le serveur distant, il va récupérer le fichier cible et vous le renvoyer via son serveur FTP. En fait c'est toujours le Proxy qui récupère les données et vous les renvoie.</div><div style="margin-bottom: 0in">Ça à l'avantage d'être très sécurisé pour la machine cliente, ça fait cache la plupart du temps donc ça réduit le trafic réseau, ça peut permettre l'authentification aussi si l'on oblige une authentification sur les applications du Proxy. Par contre ça demande des configurations spéciales sur les clients, ça demande aussi d'installer sur le proxy les applications serveur de chaque protocole que l'on souhaite fournir aux utilisateurs et ça consomme énormément de ressources.</div>

==== <font color="#CC33CC">Proxy « SOCKS »</font> ====

<div style="margin-bottom: 0in">Il ne travaille pas sur les applications, en fait il « refait » en quelque sorte les connexions. Le client passe par le Proxy qui lui en interne refait la connexion vers l'extérieur. Comme les Firewalls filtrants, ils ne font pas d'authentification, mais peuvent quand même enregistrer l'utilisateur qui a demandé la connexion.</div>

== Pré-installation d'un Firewall filtrant sous Linux ==

<div style="margin-bottom: 0in">On va dans cette partie configurer le kernel pour préparer notre système à devenir un Firewall filtrant.</div><div style="margin-bottom: 0in">Comme je l'ai dit plus haut, les Firewall filtrants sont facilement configurables sous Linux car ils sont pris en charge directement dans le noyau de Linux. Ce type de Firewall étant très léger, il vous suffit d'un 486 avec 16 voire 8 Mo de RAM. Vous avez besoin aussi suivant la version du kernel :</div>

* Version 1.x.x : une copie de <tt>ipfwadm</tt> (mais bon je vous conseille vivement de passer a une version supérieure de kernel).
* Version 2.0.x : <tt>ipwadm</tt> est sûrement déjà présent, vérifiez quand même.
* Version 2.2.x : <tt>ipchains</tt> (sûrement présent aussi).
* ''Version 2.3.x et 2.4 à venir : le format de firewall a encore changé, il n'est pas encore décrit dans ce document.''

<div style="margin-bottom: 0in">Pour ce document je décris la manière de mettre en place tout ça pour un kernel de version 2.2.X car à mon goût le Firewall est beaucoup plus sûr avec ce kernel (stack IP plus sûre et <tt>ipchains</tt> bien plus puissant que <tt>ipwadm</tt>), de plus il est facile de trouver une distribution à base de kernel 2.2.X, les 2.0.X deviennent rare.</div><div style="margin-bottom: 0in">Si vous voulez de plus faire un Proxy, récupérez l'un de ces programmes :</div>

* Squid
* TIS Firewall toolkit (FWTK)
* Socks

<div style="margin-bottom: 0in">Une recherche sur freshmeat vous trouvera ça :) Mais bon pour l'instant ce document ne traite que des Firewall filtrant, j'ajouterais une rubrique Proxy plus tard.</div><div style="margin-bottom: 0in">Bon il faut maintenant configurer le kernel pour activer ce filtrage. Cochez les options suivantes :</div><div style="margin-bottom: 0in"><tt><y> Enable experimental</tt></div><div style="margin-bottom: 0in"> <br /><tt><y> Enable loadable module support</tt></div><div style="margin-bottom: 0in"> <br /><tt><*> Packet socket</tt></div><div style="margin-bottom: 0in"><tt>[ ] Kernel/User netlink socket</tt></div><div style="margin-bottom: 0in"><tt>[y] Network firewalls</tt></div><div style="margin-bottom: 0in"><tt>[ ] Socket Filtering</tt></div><div style="margin-bottom: 0in"><tt><y> Unix domain sockets</tt></div><div style="margin-bottom: 0in"><tt>[y] TCP/IP networking</tt></div>

<tt>[ ] IP: multicasting</tt>

<tt>[y] IP: advanced router</tt>

<tt>[ ] IP: kernel level autoconfiguration</tt>

<tt>[y] IP: firewalling</tt>

<tt>[y] IP: always defragment (required for masquerading)</tt>

<tt>[y] IP: transparent proxy support</tt>

<tt>[M] IP: masquerading</tt>

<tt>--- Protocol-specific masquerading support will be built as modules.</tt>

<tt>[M] IP: ICMP masquerading</tt>

<tt>--- Protocol-specific masquerading support will be built as modules.</tt>

<tt>[Y] IP: masquerading special modules support <font color="#FF0000"><- Choisir tout les modules en répondant M</font></tt>

<tt>[y] IP: optimize as router not host</tt>

<tt>< > IP: tunneling</tt>

<tt>< > IP: GRE tunnels over IP</tt>

<tt>[y] IP: aliasing support</tt>

<tt>[y] IP: TCP syncookie support (not enabled per default)</tt>

<tt>--- (it is safe to leave these untouched)</tt>

<tt>< > IP: Reverse ARP</tt>

<tt>[y] IP: Allow large windows (not recommended if <16Mb of memory)</tt>

<tt>< > The IPv6 protocol (EXPERIMENTAL)</tt>

Cochez également toutes les autres options nécessaires (voir la [../kernel/kernel.php3 rubrique noyau]).

<div style="margin-bottom: 0in">Bon vous recompilez le noyau (<tt>make dep; make clean; make bzImage</tt>), déplacez votre ancien répertoire de module (<tt>mv /lib/module/votre_version /lib/module/votre_version.old</tt>), puis compilez et instakllez les modules (<tt>make modules; make modules_install</tt>), copiez alors le nouveau kernel (c<tt>p /usr/src/linux/arch/i386/boot/bzImage /boot</tt>) et si vous utilisez LILO, reconfigurez le pour qu'il pointe sur votre nouveau kernel (editez <tt>/etc/lilo.conf</tt>) et relancez lilo (<tt>/sbin/lilo</tt>), sinon reconfigurez votre loader (CHOS, LOADLIN, etc.). Enfin on reboute (<tt>reboot</tt>). Ouf ! :)</div>

; '''<u>Remarque</u>''' :
: Vérifiez la configuration réseau, assurez-vous que l'adresse de réseau de votre LAN est bien une des adresses réservée (192.168.2.0 par exemple, voir la [lan.php3 rubrique réseau local] pour ça). Pour la configuration de la carte externe, assurez vous aussi de sa bonne configuration pour accéder au net (testez votre connexion en fait), de même si la connexion se fait par modem. Pour tout ce qui suit je suppose que votre connexion au net se fait via une carte ethernet, en fait si vous utilisez un modem, de toute façon c'est identique. Bon avant de vraiment configurer le firewall on va tout d'abord mettre en place le « masquerading ».

== Mise en place du filtrage, du masquerading, routage LAN<tt><-></tt>NET et règles de base ==

<div style="margin-bottom: 0in"><font face="Times New Roman, serif">Assurez-vous d'avoir bien la configuration précédente pour votre kernel (validez les lors de la configuration du kernel).</font></div><div style="margin-bottom: 0in">Compilez le kernel puis les modules. Une fois tout ça réalisé, ajouter dans le fichier <tt>/etc/rc.d/rc.local</tt> (vérifiez le chemin, il peut être différent suivant les distributions) le chargement des modules de masquerade :</div><blockquote><div style="margin-bottom: 0in"><tt>/sbin/depmod -a </tt>''(n'ajoutez cette ligne que si elle n'est pas déjà présente)''</div><div style="margin-bottom: 0in"><tt>/sbin/modprobe ip_masq_ftp </tt>''(pour ftp)''</div><div style="margin-bottom: 0in"><tt>/sbin/modprobe ip_masq_raudio </tt>''(pour real audio)''</div><div style="margin-bottom: 0in"><tt>/sbin/modprobe ip_masq_irc </tt>''(pour IRC)''</div> </blockquote><div style="margin-bottom: 0in">et tout autre module comme <tt>ip_masq_cuseeme</tt>, <tt>ip_masq_vdolive</tt>, etc. que vous pouvez récupérer sur le net, si vous voulez bien sûr que de tels services soit accessibles par votre réseau local.</div>

<br />

; '''<u>Remarque</u>'' '''''<nowiki>:</nowiki>
: Je vous rappelle quand même que plus vous ouvrirez de services, plus votre sécurité baissera. En effet certains services « supplémentaires » peuvent contenir des bugs encore inconnus mais exploitables plus tard. Si vous voulez une sécurité accrue n'autorisez que le web ainsi que le FTP, surtout si vous êtes sur un réseau d'entreprise, je ne vois pas pourquoi l'IRC par exemple doit être activé, on n'en a pas besoin pour travailler dans une entreprise :).

<div style="margin-bottom: 0in; font-weight: medium; text-decoration: none">Avant de continuer vérifiez bien que votre LAN (réseau local) est bien sur une adresse réservée privé, c'est a dire du type:</div><blockquote><div style="margin-bottom: 0in; font-weight: medium; text-decoration: none">'''10.0.0.0 - 10.255.255.255 Classe A'''</div><div style="margin-bottom: 0in">'''172.16.0.0 - 172.31.255.255 Classe B'''</div><div style="margin-bottom: 0in">'''192.168.0.0 - 192.168.255.255 Classe C'''</div> </blockquote><div style="margin-bottom: 0in">Pour plus de simplicité, je considère que votre LAN est sur l'adresse réseau '''192.168.1.0''' et que votre « passerelle » (le firewall Linux) a comme adresse '''192.168.1.1'''</div><div style="margin-bottom: 0in; font-weight: medium; text-decoration: none">Configurez aussi les autres machines de votre LAN avec bien sûr une adresse IP valide (de 192.168.1.2 jusqu'à 192.168.1.254), l'adresse de passerelle et de DNS, celle du Firewall (192.168.1.1).</div><div style="margin-bottom: 0in; font-weight: medium; text-decoration: none">Bon maintenant sur le Firewall, on va activer le masquerade avec:</div><div style="margin-bottom: 0in"><tt>'''<nowiki># </nowiki>'''ipchains -P forward DENY</tt></div><div style="margin-bottom: 0in"><tt>'''<nowiki># </nowiki>'''ipchains -A forward -s yyy.yyy.yyy.yyy/x -j MASQ</tt></div><div style="margin-bottom: 0in; font-weight: medium; text-decoration: none">avec '''x''' qui correspond au masque et '''yyy.yyy.yyy.yyy''' l'adresse réseau de votre LAN (ici 192.168.1.0)</div>

<br /> <br />

{| border="BORDER" cellpadding="2"
|- valign="TOP"
! width="197" | Masque
! width="198" | Valeur de x
! width="197" | Classe
|- valign="TOP"
! width="197" | '''''255.0.0.0'''''
! width="198" | '''''8'''''
! width="197" | '''''A'''''
|- valign="TOP"
| width="197" |
<center>'''''255.255.0.0'''''</center>
| width="198" |
<center>'''''16'''''</center>
| width="197" |
<center>'''''B'''''</center>
|- valign="TOP"
| width="197" |
<center>'''''255.255.255.0'''''</center>
| width="198" |
<center>'''''24'''''</center>
| width="197" |
<center>'''''C'''''</center>
|- valign="TOP"
| width="197" |
<center>'''''255.255.255.255'''''</center>
| width="198" |
<center>'''''32'''''</center>
| width="197" |
<center>'''''Point à point'''''</center>
|}

Si pour vous ce style de notation de masque vous gêne vous pouvez aussi utiliser la notation xxx.xxx.xxx.xxx du masque pour remplacer x.

Pour notre exemple on tape alors:

<tt>'''<nowiki># </nowiki>'''ipchains -P forward DENY</tt>

<div style="margin-bottom: 0in"><tt>'''<nowiki># </nowiki>'''ipchains -A forward -s 192.168.1.0/24 -j MASQ</tt></div><div style="margin-bottom: 0in">ou</div><div style="margin-bottom: 0in"><tt>'''<nowiki># </nowiki>'''ipchains -P forward DENY</tt></div><div style="margin-bottom: 0in"><tt>'''<nowiki># </nowiki>'''ipchains -A forward -s 192.168.1.0/255.255.255.0 -j MASQ</tt></div><div style="margin-bottom: 0in; font-weight: medium; text-decoration: none">Bon on a fait quoi au juste là ?</div>

* La première ligne indique au noyau de ne transmettre AUCUN paquet, donc on bloque TOUT en fait.
* La deuxième ligne elle indique de transmettre les paquets réseaux de notre LAN (192.168.1.0 avec masque 255.255.255.0).

<div style="margin-bottom: 0in; font-weight: medium; text-decoration: none">Donc en fait notre Firewall Linux ne laissera passer au travers de lui que les communications LAN<->Extérieur.</div><div style="margin-bottom: 0in; font-weight: medium; text-decoration: none">Au lieu de laisser la possibilité à toutes les machines de notre LAN d'avoir accès vers l'extérieur, on aurait pu aussi ne spécifier que certaines machines, par exemple on veut que juste le patron de notre société ainsi que l'administrateur réseau par exemple qui ont des machines avec adresse IP 192.168.1.3 et 192.168.1.10. Pour cela il faut jouer sur le masque, ça nous donne:</div><div style="margin-bottom: 0in"><tt>'''<nowiki># </nowiki>'''ipchains -P forward DENY</tt></div><div style="margin-bottom: 0in"><tt>'''<nowiki># </nowiki>'''ipchains -A forward -s 192.168.1.3/32 -j MASQ</tt></div><div style="margin-bottom: 0in"><tt>'''<nowiki># </nowiki>'''ipchains -A forward -s 192.168.1.10/32 -j MASQ</tt></div><div style="margin-bottom: 0in"> <br />Pour rendre ces règles « permanentes » après chaque reboot, ajoutez-les aussi dans un fichier que vous appelez par exemple '''<tt>rc.firewall</tt>''' que vous placez dans <tt>/etc/rc.d</tt>, sinon vous allez devoir les taper à chaque reboot du système. <br /> </div><div style="margin-bottom: 0in">On résume alors ce qui peut se trouver dans un tel fichier:</div><div style="margin-bottom: 0in">
----
<tt><nowiki>#!/bin/bash</nowiki></tt></div><div style="margin-bottom: 0in"><tt><nowiki>#</nowiki></tt></div><div style="margin-bottom: 0in"><tt><nowiki># Firewall.rc</nowiki></tt></div><div style="margin-bottom: 0in"><tt><nowiki>#</nowiki></tt></div><div style="margin-bottom: 0in"><tt><nowiki># Script de démarrage des règles du firewall</nowiki></tt></div><div style="margin-bottom: 0in"><tt><nowiki>#</nowiki></tt></div><div style="margin-bottom: 0in"><tt><nowiki># Tchesmeli serge , Version 0.2</nowiki></tt></div><div style="margin-bottom: 0in"><tt><nowiki>#</nowiki></tt></div><div style="margin-bottom: 0in"><tt><nowiki># Lea : http://www.lea-linux.org</nowiki></tt></div><div style="margin-bottom: 0in"><tt><nowiki>#</nowiki></tt></div><div style="margin-bottom: 0in"><tt>echo "Démarrage FIREWALL :"</tt></div><div style="margin-bottom: 0in"> <div style="margin-bottom: 0in"><tt>echo "- Activation de l'IP forwarding..."</tt></div><tt>echo "1" > /proc/sys/net/ipv4/ip_forward</tt>

<tt><nowiki># D'abord on bloque tout</nowiki></tt>

</div><div style="margin-bottom: 0in"><tt>echo -n "- Arrêt total des transmissions réseau..."</tt></div><div style="margin-bottom: 0in; font-weight: medium; text-decoration: none"><tt>if [ -x /sbin/ipchains ]; then</tt></div><div style="margin-bottom: 0in; font-weight: medium; text-decoration: none"><tt> /sbin/ipchains -P forward DENY</tt></div><div style="margin-bottom: 0in; font-weight: medium; text-decoration: none"><tt> echo "OK"</tt></div><div style="margin-bottom: 0in; font-weight: medium; text-decoration: none"><tt>else</tt></div><div style="margin-bottom: 0in; font-weight: medium; text-decoration: none"><tt> echo "Erreur !"</tt></div><div style="margin-bottom: 0in; font-weight: medium; text-decoration: none"><tt> echo "Votre noyau n'est pas configuré pour\</tt><br /><tt>permettre le filtrage.... veuillez le recompiler."</tt></div><div style="margin-bottom: 0in; font-weight: medium; text-decoration: none"><tt> exit</tt></div><div style="margin-bottom: 0in; font-weight: medium; text-decoration: none"><tt>fi</tt></div><div style="margin-bottom: 0in; font-weight: medium; text-decoration: none"> <br /><tt><nowiki># On charge les modules de masquerade</nowiki></tt></div><div style="margin-bottom: 0in"><tt>echo -n "- Chargement des modules de masquerade... "</tt></div><div style="margin-bottom: 0in"><tt>/sbin/modprobe ip_masq_ftp</tt></div><div style="margin-bottom: 0in"><tt>/sbin/modprobe ip_masq_raudio</tt></div><div style="margin-bottom: 0in"><tt>/sbin/modprobe ip_masq_irc</tt></div>

<tt>echo "OK"</tt><br /><tt><nowiki># Vous pouvez y inclure ou enlever</nowiki></tt><br /><tt><nowiki># les modules de votre choix</nowiki></tt>

<tt><nowiki># Puis on applique les règles</nowiki></tt>

<div style="margin-bottom: 0in"><div style="margin-bottom: 0in"><tt>echo -n "- Chargement des règles de filtrage... "</tt></div><tt><nowiki># ipchains -P forward DENY</nowiki></tt></div><div style="margin-bottom: 0in; font-weight: medium; text-decoration: none"><tt>ipchains -A forward -s 192.168.1.0/255.255.255.0 -j MASQ</tt></div>

<tt>echo "OK"</tt><br /><tt><nowiki># A vous de bien fixer les règles suivant votre réseau</nowiki></tt>

<div style="margin-bottom: 0in; font-weight: medium; text-decoration: none"> </div><div style="margin-bottom: 0in; font-weight: medium; text-decoration: none"><tt>echo "Firewall prêt."</tt><br />
----

On peut alors appeler ce script depuis <tt>/etc/rc.d/rc.local</tt> en y ajoutant une ligne :

<blockquote><tt>source rc.firewall</tt></blockquote> Voilà ! Votre firewall est configuré ! A vous de jouer sur les règles afin d'optimiser la sécurité sur votre réseau local...</div><div class="merci">Cette page est issue de la documentation 'pré-wiki' de Léa a été convertie avec HTML::WikiConverter. Elle fut créée par Serge Tchesmeli le 05/06/2000.</div>

= Copyright =
Copyright © 05/06/2000, Serge Tchesmeli
{{LDL}}

=Autres ressources=
* [http://www.freenix.org/unix/linux/HOWTO/Firewall-HOWTO.html Firewall-HOWTO]
* [http://www.freenix.org/unix/linux/HOWTO/IPCHAINS-HOWTO.html IPCHAINS-HOWTO]
* [http://www.freenix.org/unix/linux/HOWTO-vo/IP-Masquerade-HOWTO.html IP-Masquerade HOWTO]
* [http://www.freenix.org/unix/linux/HOWTO/mini/IP-Masquerade.html IP-Masq. mini-HOWTO]
* [http://www.fwbuilder.org Firewall builder], un excellent outil pour configurer votre firewall sous Linux.
* La logithèque de Léa, [[Logithèque:Oldrub=21|section Sécurité]].

Fstab

2005-10-26T14:50:44Z

Alvaro : /* 3. système de fichier */ typos. Je m'interroge sur le "glossaire"

Fstab

2005-10-26T14:48:23Z

Alvaro : /* Modifier /etc/fstab */ typos

Lea Linux:Café du coin

2005-10-26T14:43:49Z

Alvaro : :Un demi, plîz. J'ai du mal à me faire à cette histoire de modération, je ne voyais pas la commande de Stéphane sur la page, mais je la vois en modif ;D ~~~~

= Ouverture du Café =
Salut tous, c'est ma tournée ! [[Utilisateur:Fred|Fred]]

Un café pour moi ! [[Utilisateur:ST|Stéphane]]
:Un demi, plîz. J'ai du mal à me faire à cette histoire de modération, je ne voyais pas la commande de Stéphane sur la page, mais je la vois en modif ;D [[Utilisateur:Alvaro|Alvaro]] 26 oct 2005 à 16:43:49 (CEST)

Trucs:Changer de thèmes GTK1 ou GTK2 quand on n'utilise pas Gnome (le bureau)

2005-10-26T12:46:25Z

Alvaro : typo

<div class="leapar">gnuk<ludo.truc@free.fr></div>

Il est possible de changer de thèmes facilement sans charger quoi que ce soit en démon (<code>gconfd</code> ou <code>gconfd-2</code>).

Pour ce faire, c’est très simple, utilisez une petite application de changement de thèmes. ;)

Le paquet s’appelant <code>gtk-theme-switch</code> (verifié sous Debian, Mandrake, Gentoo) :

* Dans le cas de GTK1 : <code>switch</code>
* Dans le cas de GTK2 : <code>switch2</code>

Cependant, j’ai remarqué une utilisation excessive du processeur lors de changmement de thème avec <code>switch</code> (GTK1) et quelques plantages aléatoires de l’application (même avec Debian stable). Ce défaut ne semble pas etre présent sur <code>switch2</code> (GTK2).

À quoi cela peut-il bien servir si l’on n’a pas de thème à changer ? :p<br />
Voici quelques sites de thèmes :
* http://art.gnome.org/themes/gtk2/
* http://www.themedepot.org/
* http://gnome-look.org/

Testé sur Debian stable et unstable. À vous de jouer :)

Lire aussi cette [[Fiches:Comment changer le thème de Gnome ?|fiche]] pour un tour plus complet sur la question.

[[Catégorie:Trucs_X Window]]

Discussion utilisateur:Alvaro

2005-10-26T12:39:23Z

Alvaro : :Salut, Delphine. Merci pour le vieux ronchon ;D Ben oui, je vois qu'on assiste à une migration de wikipédia vers Léa. Byz ~~~~

Discussion utilisateur:Vincent Ramos

2005-10-26T12:34:40Z

Alvaro : *Salut. Le monde virtuel est décidément petit ;D À+ ~~~~

Héhé ! Bon, cette modération ''a priori'' c'est pas top. Je vois partout dans les RC que tu as changé ta page, et...pof, je retombe sur l'accueil. Pfffft. Bisous francfortiens. [[Utilisateur:Notafish|notafish]] [[Discussion Utilisateur:Notafish| }<';>]] 24 oct 2005 à 23:55 (CEST)
:pour Notafish: Tu peux voir la page non-modéré via l'historique ou en l'éditant et en affichant la préview, nous savons que c'est pénible mais nous n'avons pas autant de relecteur que wikipedia, et vue les spam que nous avons déjà reçu sur une interface pénilbe sur un truc aussi souple que mediawiki nous ne vouons pas être ennuyé. désolé. [[Utilisateur:Fred|Fred]]
: pour Vincent Ramos, je t'ai mis 'editeur' : tu as donc accès à la version sans modération du site, via la petite clé anglaise en haut à droite (même login sur que le wiki)
*Salut. Le monde virtuel est décidément petit ;D À+ [[Utilisateur:Alvaro|Alvaro]] 26 oct 2005 à 14:34:40 (CEST)

Utilisateur:Alvaro

2005-10-24T17:11:02Z

Alvaro : Alvaro est mon prénom. Utilisateur de plusieurs Linux depuis quelques années, développeur sous Unix vers 1990, administrateur sur [http://fr.wikipedia.org/wiki/Accueil Wikipédia] et bien content de vo

Alvaro est mon prénom. Utilisateur de plusieurs Linux depuis quelques années, développeur sous Unix vers 1990, administrateur sur [http://fr.wikipedia.org/wiki/Accueil Wikipédia] et bien content de voir Léa passer au wiki ;D [[Utilisateur:Alvaro|Alvaro]] 24 oct 2005 à 19:11 (CEST)