Bonjour,

Si quelqu'un peut m'expliquer comment activer un firewall et comment le paramatrer dans Mdk 9.1, merci d'avance.

tu installes shorewall ensuite tu verifies qu'il fonctionne /etc/rc.d/init.d/shorewall status

Normalement les parametres par défault devrait être de bonne aloi.

c'est tout.

fee-la -***,
tu es sûr que les parametres par defaut suffisent ??
tous tes ports sont stealth sur les sites de test ??
moi j' ai pris l habitude d' aller recuperer des fichier de config sur le site officiel et d'y appliquer les modifs necessaires tant au niveau des règles qu' au niveau de l' interface à surveiller...

Bonjour,

En clair je fais quoi...
Pour ma part j'ai tapé en mode console (root)
/etc/rc.d/init.d/shorewall status
j'ai obtenu une liste impressionnante d'instructions, dont je n'ai rien compris.
J'ai tout quitté et voilà.

déja , on va verifier le niveau de securité que te confère (ou pas shorewall):
tu vas aler à l'url suivante:
[grc.com]
tu cliques sur 'proceed' et là dans l' une des deux barres grises, tu choisis 'All service ports' ce qui demarrera le test des 1056 premiers ports de ton ordino...
un port peut etre pen,close ou stealth
sauf à ce que ton pc heberge un serveur quelconque , aucun ne devrait etre open.
L'ideal pour la majorité des ports étant qu'ils soient sthealth ( invisibles)....
fais déjà ce test et viens nous en donner le resultat...

et profites en pour nous dire quelle version de shorewall tu as...
commande 'shorewall version' dans une console en su...

Résultat :

GRC Port Authority Report created on UTC: 2003-10-28 at 15:32:00

Results from scan of ports: 0-1055

3 Ports Open
1049 Ports Closed
4 Ports Stealth
---------------------
1056 Ports Tested

Ports found to be OPEN were: 53, 111, 631

Ports found to be STEALTH were: 135, 139, 445, 593

Other than what is listed above, all ports are CLOSED.

TruStealth: FAILED - NOT all tested ports were STEALTH,
- NO unsolicited packets were received,
- A PING REPLY (ICMP Echo) WAS RECEIVED.

----------------------------------------------------------------------
C'est bon ? et tout sans firewall car entretemps j'ai fait
/etc/rc.d/init.d/shorewall stop
D'avance Merci encore. 8-o

Version de shorewall 1.3.14

non c est pas bon...
le port 111 c est le service portmap qui est activé sur ton systeme:
faut le desactiver dans le panneau de controle de mandrake dans la partie systeme ou se trouve le gestionnaire de services...

le port 53 c est le port pour les dns...je vois pas trop pourquoi il serait ouvert chez toi...

le 631 doit gerer l' impression en reseau il me semble...

a moins que ton ordino soit en reseau, je vois pas trop pourquoi laisser ces ports ouverts...

par contre tu m' as pas dit ce que donnait le test avec ton firewall activé ( car apres tout , il est là pour fermer les ports trop accueillants).

Résultats nouveau test :
---------------------------------------------------------------------

GRC Port Authority Report created on UTC: 2003-10-28 at 17:35:28

Results from scan of ports: 0-1055

2 Ports Open
1050 Ports Closed
4 Ports Stealth
---------------------
1056 Ports Tested

Ports found to be OPEN were: 111, 631

Ports found to be STEALTH were: 135, 139, 445, 593

Other than what is listed above, all ports are CLOSED.

TruStealth: FAILED - NOT all tested ports were STEALTH,
- NO unsolicited packets were received,
- A PING REPLY (ICMP Echo) WAS RECEIVED

En ce qui concerne le port 111 j'ai décoché l'option Démarrage et j'ai cliqué sur Arrêter mais il est tjrs à Actif.
Le 631 c'est celui sur lequel est branché mon imprimante qui n'est pas en réseau.
Le 53 lui a disparu du test mais je ne sais pas pourquoi.

le firewall ne doit pas etre tres bien configuré,
je vais te donner la procedure que j' ai suivie pour configurer shorewall et qui m a parmis de rendre invisibles tous mes ports...
les exemples de lignes de fichiers que je donne sont issus des fichiers de config de mon shorewall qui est en version 1.4.6c mais
qui doivent être valables pour des versions plus ancienne comme la tienne...

tout d' abord, je te conseille d' aller chercher les fichiers de configuration pré configuré du site officiel à l' adresse suivante:
[www1.shorewall.net]
Là tu cliques sur le dossier qui correspond à ta version de shorewall et tu recuperes le fichier one-interface.tgz (je pars du principe que tu n ' as qu' un ordinateur connecté classiquement au net).
Decompresse cette archive dans laquel se trouve 4 fichiers: interfaces ,policy, rules et zones.
Copie ces 4 fichiers (juste les fichiers et pas le dossier qui est generé a l extraction) dans /etc/shorewall (en tant que su).
Une fois cela fait il ne reste que quelques modifs à faire dans certains fichiers:
tu lances un editeur de texte en mode su et tu edites les fichiers suivants tous situés dans etc/shorewall:

*dans le fichier 'interfaces':

le fichier se termine ainsi:

#ZONE INTERFACE BROADCAST OPTIONS
net eth0 detect norfc1918,routefilter,dhcp
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE

si tu as une connection 'classique' modem rtc ou meme adsl usb , remplace la ligne du milieu pour obtenir:

#ZONE INTERFACE BROADCAST OPTIONS
net ppp0 -
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE

*dans le fichier 'common.def' :

tu vas remarquer un certains nombres de lignes qui se terminent soit par 'reject' soit par 'drop'
ces lignes correspondent à un certains nombres de ports importants (135,137,113....etc).
La seule manip à faire à ce niveau sera de remplacer les 'reject' qui ferment les ports par des
'DROP' qui les rendent invisibles...
Un bémol cependant pour le port 113 qui est le port d'authentification, le rendre invisible t'empechera d' acceder à certains serveurs de chat irc...
des ports simplement fermés ne sont pas dangereux en soi car comme le nom l'indique ils empecheront un malveillant de rentrer mais par contre cette personne saura qu' il y a un ordinateur connecté et s'il est doué essayer de trouver une faille alors que s'ils sont invisibles, il pensera qu'aucun ordinayeur n' est connecté sur ton ip... (oui je sais je suis peut etre un peu trop parano ;o) )
les ports non indiqués dans ce fichiers sont DROP par défaut....
à toi de voir ce que tu veux...

*dans le fichier rules :

dans ce fichier là, une ligne importante:

ACCEPT net fw icmp 8

cette ligne signifie que ton ordino repondra aux tests pings ( et signalera l' existence de ton pc sur le net)...
Si tu remplaces ACCEPT par DROP , IL ne repondra pas à ces tests mais ca peut poser probleme dans certains cas ou il est utile que ton ordino reponde à ce type de requetes (perso je l' ai mis en drop et ca ne me pose pas de soucis)

une fois ces modifs faites (ou pas),
tu tapes la commande 'shorewall restart' et tu retournes faire le test

dans mon message precedent mes copier/coller sont mal passés:
prend bien soin de garder l 'ecartement initial entre les elements
ex: #ZONE INTERFACE BROADCAST OPTIONS
net ppp0 -
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE

CATASTROPHE !
J'ai effectué les modifs que tu m'as indiqué. Quand j'ai voulu me connecter au site pour refaire le test, IMPOSSIBLE !
J'ai donc tout remis comme au début et j'ai désactivé shorewall
Rien à faire Mon pbm recommence.
Quand je lance une connexion avec KPPP je suis connecté mais je n'arrive pas à charger la page d'un site.
Quand je lance une connexion avec DrakConnect, à chaque fois ca echoue.
J'ai cherché, reparamétré, rien n'y fait, j'avoue que j'en ai un peu marre.
Ca fait une semaine que je cherche la solution à ce pbm.
Si jamais tu en as une je suis preneur et d'avance je te remercie.
Il est 5h00, j'arrete là, je vais me coucher. :##

Bonjour,

Plus la peine de cherhcer, je viens de formater et je m'apprete à tout réinstaller.
Merci encore à tous pour votre aide. :##

Comme quoi,
linux a encore un peu de chemin à faire avant qu' il soit aussi simple de configurer un firewall sous linux que sous windows....
à quand un zonealarm à la sauce linux????
Adi, desolé de n' avoir pu t'aider plus efficacement mais là je ne vois pas pourquoi ca bloque....

Des fois il faut savoir dire stop. Ca fait partie du jeu. Et puis si c'était trop simple, ca n'aurait plus de charme.
Merci encore pour ton aide. Je pense qu'un jour ou l'autre j'aurais encore besoin de tes lumières. Donc à bientôt . :##

Salut,

Pour ma part je n'avais jamais réussi a lancer un firewall sans que mes accès à l'exterieur soit bloqués jusqu'au jour où j'ai utilisé WebWin pour la config de shorewall.

Par contre grace à ce post j'ai pu constater que j'ai d'énormes trous vu que je ne connais pas bein les firewall.
Je ne dis pas que mon conseil est de bonne augure mais tu peux toujours voir si c'est plus pratique pour les paramétrages
(affaire de gout)

A+