LinuxPedia

Wiki libre et indépendant dédié à GNU-Linux et BSD.

Outils pour utilisateurs

Outils du site


yast:pare-feu

Le Module "Pare feu" de Yast sur OpenSUSE 11.4

Introduction

Ce module vous permet de configurer le pare feu de votre machine voire d'en faire un firewall à part entière. Il permet notament de créer deux sous-réseaux: une zone démilitarisée (DMZ) et un réseau interne, via les différentes interfaces réseaux.
En cas de problème n'hésitez pas à contacter la communauté sur www.alionet.org

"Pare feu"

Vous trouverez le module dans “Sécurité et Utilisateurs”

Cliquer sur “Pare Feu”, la fenêtre suivante apparait :

Cet écran est séparé en deux parties. A gauche le menu principal contenant les différents éléments :

  • Démarrage
  • Interfaces
  • Services autorisés
  • Masquage
  • Diffusion générale
  • Niveau de journalisation
  • Règles personnalisées

A droite le menu de configuration de chaque élément.

Démarrage

Cette fenêtre est un peu le panneau de commande du Firewall. Elle vous permet de l'activer ou le désactiver au boot, de le démarrer , arrêter et recharger après modifications.

Interfaces

Cette fenêtre:

vous permet d'allouer les différentes interfaces réseaux à des zones. Il existe trois sortes de zones :

  • Zone Interne : cette zone concerne un réseau interne qui est censé pouvoir sortir sur internet ou la zone démilitarisée mais en aucun cas recevoir du trafic initié et venant par ces deux dernières. (la zone la plus sécurisée).
  • Zone externe : en générale internet ou réseau de sortie
  • Zone démilitarisé : c'est, dirons nous, la zone sensible. C'est la zone qui accepte des connexions venant de l’extérieur (Internet ) sur des services précis comme le mail, le web…… c'est donc là que nous mettrons les serveurs pour tous ces services sensibles.

Sélectionnez le périphérique dans le tableau puis cliquez sur Changer pour affecter vos périphériques réseau aux zones du pare-feu.

Entrez les chaines spéciales, telles que any (n'importe lequel), en utilisant Personnalisé. Si vous avez besoin de masquage, la chaîne any (n'importe lequel) n'est pas autorisée.

Chaque périphérique réseau doit être affecté à une zone de pare-feu. Le trafic réseau au travers d'une interface non affectée est bloqué.

N'ayant pas deux cartes réseaux dans mon PC, j'ai donc créé une virtuelle puis rempli le formulaire personnalisé.

Pour donner ceci:

Services autorisés

Cette fenêtre :

Spécifiez ici les services ou les ports qui doivent être accessibles à partir du réseau. Les réseaux sont divisés en zones de pare-feu.

Pour autoriser un service, sélectionnez la Zone et le Service à autoriser, puis cliquez sur Ajouter. Pour supprimer un service autorisé, sélectionnez la Zone et le Service autorisé, puis cliquez sur Supprimer.

En dé-sélectionnant Protéger le pare-feu de la zone interne, vous supprimez la protection de la zone. Aucun service et port ne sera protégé à partir de cette zone.

Il est possible de configurer des paramètres supplémentaires à l'aide de l'option Avancé. Les entrées doivent être séparées par un espace. Cette option permet de définir des ports TCP, UDP et RPC, ainsi que des protocoles IP.

lisez bien ce qu'il y a dans le coté gauche cela peut servir ;)

Les ports TCP et UDP peuvent être entrés comme des noms de ports (ftp-data), des numéros de ports (3128) et des plages de ports (8000:8520). Les ports RPC peuvent être entrés comme des noms de services (portmap ou nlockmgr). Entrez les protocoles IP comme des noms de protocoles (esp).

Masquage

Le masquage est une fonction qui cache votre réseau interne derrière votre pare-feu et permet à votre réseau interne d'accéder au réseau externe tel que Internet, de façon transparente. Les requêtes depuis le réseau externe vers le réseau interne sont bloquées. Sélectionnez Masquer les réseaux pour masquer vos réseaux au réseau externe.

Bien que les requêtes du réseau externe ne puissent atteindre votre réseau interne, il est possible de rediriger de façon transparente n'importe quel port requis de votre pare-feu vers n'importe quel IP interne. Pour ajouter une nouvelle règle de redirection, cliquez sur Ajouter et remplissez le formulaire de redirection.

Pour supprimer une règle de redirection, sélectionnez-la dans le tableau et cliquez sur Supprimer

Diffusion générale

Configuration de la diffusion générale

Les paquets de diffusion générale sont des paquets UDP spéciaux envoyés à tout le réseau pour trouver les ordinateurs voisins ou envoyer des informations à chaque ordinateur dans le réseau. Par exemple, les serveurs CUPS fournissent des informations au sujet des files d'impression en utilisant des paquets de diffusion générale.

Les services SuSEfirewall2 sélectionnés dans des interfaces autorisées ajoutent automatiquement les ports de diffusion générale nécessaires ici. Pour en supprimer ou en ajouter d'autres, modifiez les listes de ports (séparés par des espaces) pour les zones concernées.

Les autres paquets de diffusion générale non acceptés sont journalisés. Dans les réseaux importants, il peut s'agir d'un grand nombre de paquets. Pour supprimer la journalisation de ces paquets, désélectionnez Journaliser les paquets de diffusion générale non acceptés pour les zones souhaitées.

Diffusion générale des réponses (broadcasts)

Habituellement, le pare-feu jette les paquets qui sont envoyés par une autre machine en réponse à des paquets envoyés en diffusion générale par votre système, ex. naviguation Samba ou SLP. Ici, vous pouvez configurer quels paquets sont autorisés à passer à travers le pare-feu. Utilisez le bouton Ajouter pour ajouter une nouvelle règle. Vous devrez choisir la zone du pare-feu et aussi parmi des services pré-définis ou paramétrer votre règle entièrement manuellement.

Niveau de journalisation

Niveau de journalisation Cette boite de dialogue de permet de configurer les paramètres de journalisation des paquets IP. Vous pouvez configurer ici la journalisation des paquets de connexion entrants. Les paquets sortants ne sont pas journalisés.

Il existe deux groupes de paquets IP journalisés : les paquets acceptés et les paquets non acceptés. Vous pouvez choisir parmi trois niveaux de journalisation pour chaque groupe : Tout journaliser pour journaliser chaque paquet, Ne journaliser que ce qui est critique pour ne journaliser que ceux qui vous intéressent, ou Ne rien journaliser pour ne rien journaliser. Vous devez journaliser au moins les paquets acceptés critiques.

Le fichier texte généré se trouve dans /var/log/firewall il vous permettra le plus souvent de voir les échanges entre les différents réseaux mais attention pas très friendly.

Réglés personnalisées

Cette partie vous permet de faire vos propres règles via ce formulaire:

avec ceci comme définition :

  • Réseau source

Réseau ou adresse IP d'où la connexion provient, par exemple., 192.168.0.1 ou 192.168.0.0/255.255.255.0 ou 192.168.0.0/24 ou 0/0 (qui signifie tous : all).

  • Protocole

Protocole utilisé par ce paquet. Le protocole spécial RPC est utilisé pour les services RPC. Port de destination

  • Port de Destination

Le nom du port, le numéro du port ou la plage de ports qui sont autoriés en accès, par exemple smtp ou 25 ou 100:110. Dans le cas du protocole RPC, utilisez le nom du service RPC. Cette entrée est optionnelle.

  • Port Source

Le nom du port, le numéro du port ou la plage de ports d'où le paquet provient. Cette entrée est optionnelle.

Résumé

Une fois vos modifications terminées cliquer sur suivant le resumé de votre firewall apparait:

Vous pouvez maintenant démarrer votre firewall.

Annexes

Pour mieux apréhender le firewall il faut savoir que SuSEfirewall utilise la commande iptables pour créer/gerer le firewall.Une fois celui ci démarré, un simple

 iptables -L -n

devrait vous en convaincre-

pour ce qui est des problèmes de syntaxe dans l'interface Yast, je pense qu'il peut être bon de regarder les fichiers suivants:

/etc/init.d/SuSEfirewall2_init
/etc/init.d/SuSEfirewall2_setup
/etc/sysconfig/network/if-up.d/SuSEfirewall2
/etc/sysconfig/network/scripts/firewall
/etc/sysconfig/network/scripts/SuSEfirewall2
/etc/sysconfig/scripts/SuSEfirewall2-batch
/etc/sysconfig/scripts/SuSEfirewall2-custom
/etc/sysconfig/scripts/SuSEfirewall2-oldbroadcast
/etc/sysconfig/scripts/SuSEfirewall2-open
/etc/sysconfig/scripts/SuSEfirewall2-qdisc
/etc/sysconfig/scripts/SuSEfirewall2-rpcinfo
/etc/sysconfig/scripts/SuSEfirewall2-showlog
/etc/sysconfig/SuSEfirewall2
/etc/sysconfig/SuSEfirewall2.d
/etc/sysconfig/SuSEfirewall2.d/services
/etc/sysconfig/SuSEfirewall2.d/services/apache2
/etc/sysconfig/SuSEfirewall2.d/services/apache2-ssl
/etc/sysconfig/SuSEfirewall2.d/services/avahi
/etc/sysconfig/SuSEfirewall2.d/services/bind
/etc/sysconfig/SuSEfirewall2.d/services/dhcp-server
/etc/sysconfig/SuSEfirewall2.d/services/dnsmasq-dhcp
/etc/sysconfig/SuSEfirewall2.d/services/dnsmasq-dns
/etc/sysconfig/SuSEfirewall2.d/services/hplip
/etc/sysconfig/SuSEfirewall2.d/services/mysql
/etc/sysconfig/SuSEfirewall2.d/services/netbios-server
/etc/sysconfig/SuSEfirewall2.d/services/nfs-client
/etc/sysconfig/SuSEfirewall2.d/services/nfs-kernel-server
/etc/sysconfig/SuSEfirewall2.d/services/ntp
/etc/sysconfig/SuSEfirewall2.d/services/postfix
/etc/sysconfig/SuSEfirewall2.d/services/rsync-server
/etc/sysconfig/SuSEfirewall2.d/services/samba-client
/etc/sysconfig/SuSEfirewall2.d/services/samba-server
/etc/sysconfig/SuSEfirewall2.d/services/sshd
/etc/sysconfig/SuSEfirewall2.d/services/TEMPLATE
/etc/sysconfig/SuSEfirewall2.d/services/vnc-httpd  
/etc/sysconfig/SuSEfirewall2.d/services/vnc-server
/etc/sysconfig/SuSEfirewall2.d/services/xdmcp
/etc/sysconfig/SuSEfirewall2.d/services/xorg-x11-server
/etc/sysconfig/SuSEfirewall2.d/services/ypbind

ils sont tous parfaitement commentés malheureusement en anglais.

Have fun!

yast/pare-feu.txt · Dernière modification : 2018/11/17 12:54 de 127.0.0.1