Sur un poste Windows 2000, j'ai installé wipfw.
Le seul problème est la création des règles de filtrage.
Alors, je propose mon fichier wipfw.conf, en espérant que des personnes compétentes (un spécialiste freeBSD ?) puissent m'indiquer si il est correct et le compléter pour un usage standard internet (surf essentiellement) :
Il faut simplement veiller à remplacer les adresses de serveur DNS par ceux de votre fournisseur d'accès et l'adresse du serveur DHCP par celle de votre routeur (si c'est bien lui qui joue le rôle de serveur DHCP).
A priori, avec ces règles, je peux surfer, la résolution de nom fonctionne, le service dhcp m'attribue correctement une adresse ip. Mais est ce que cette configuration est suffisante en terme de sécurité ?
wipfw est très bien, mais il serait intéressant d'avoir un fichier de configuration "tout fait" permettant son adaptation/utilisation par le plus grand nombre, sans se prendre la tête à élaborer des règles...
Le seul problème est la création des règles de filtrage.
Alors, je propose mon fichier wipfw.conf, en espérant que des personnes compétentes (un spécialiste freeBSD ?) puissent m'indiquer si il est correct et le compléter pour un usage standard internet (surf essentiellement) :
- Code: Tout sélectionner
# Effacement des règles du firewall
-f flush
# règles localhost : autoriser tout ce qui passe par localhost
add 100 allow all from any to any via lo*
# localhost : supprimer tout le flux entrant vers localhost ?
add 110 deny log all from any to 127.0.0.0/8 in
add 111 deny log all from 127.0.0.0/8 to any in
# regle dynamique ?
add 150 check-state
#
add 200 deny tcp from any to any in established
add 300 allow tcp from any to any keep-state setup
# gestion des flux DNS (port 53)
add 400 allow udp from adresse_serveur_dns_1 53 to me 53 in recv eth0
add 401 allow udp from adresse_serveur_dns_2 53 to me 53 in recv eth0
add 402 allow udp from me 53 to adresse_serveur_dns_1 53 out eth0
add 403 allow udp from me 53 to adresse_serveur_dns_2 53 out eth0
# gestion des flux DHCP (port 67 et 68)
add 500 allow udp from adresse_serveur_dhcp 67 to any 68 in recv eth0
# gestion des flux ICMP (ping)
add 600 allow icmp from any to any icmptype 3
add 601 allow icmp from any to any icmptype 4
add 602 allow icmp from any to any out icmptype 8
add 603 allow icmp from any to any in icmptype 0
add 604 allow icmp from any to any in icmptype 11
# regle finale
add 65535 allow ip from any to any
Il faut simplement veiller à remplacer les adresses de serveur DNS par ceux de votre fournisseur d'accès et l'adresse du serveur DHCP par celle de votre routeur (si c'est bien lui qui joue le rôle de serveur DHCP).
A priori, avec ces règles, je peux surfer, la résolution de nom fonctionne, le service dhcp m'attribue correctement une adresse ip. Mais est ce que cette configuration est suffisante en terme de sécurité ?
wipfw est très bien, mais il serait intéressant d'avoir un fichier de configuration "tout fait" permettant son adaptation/utilisation par le plus grand nombre, sans se prendre la tête à élaborer des règles...
-
dubdub
- Messages : 870