====== Le Module "Pare feu" de Yast sur OpenSUSE 11.4 ====== ===== Introduction ===== Ce module vous permet de configurer le [[http://fr.wikipedia.org/wiki/Pare-feu_%28informatique%29|pare feu]] de votre machine voire d'en faire un firewall à part entière. Il permet notament de créer deux sous-réseaux: une zone démilitarisée (DMZ) et un réseau interne, via les différentes interfaces réseaux.\\ En cas de problème n'hésitez pas à contacter la communauté sur www.alionet.org ====="Pare feu"===== Vous trouverez le module dans "Sécurité et Utilisateurs" {{:yast:fw.png?650;|}} Cliquer sur "Pare Feu", la fenêtre suivante apparait : {{:yast:fw1.png?650;|}} Cet écran est séparé en deux parties. A gauche le menu principal contenant les différents éléments : * Démarrage * Interfaces * Services autorisés * Masquage * Diffusion générale * Niveau de journalisation * Règles personnalisées A droite le menu de configuration de chaque élément. ==== Démarrage ==== Cette fenêtre est un peu le panneau de commande du Firewall. Elle vous permet de l'activer ou le désactiver au boot, de le démarrer , arrêter et recharger après modifications. ==== Interfaces ==== Cette fenêtre: {{:yast:fw2.png?650|}} vous permet d'allouer les différentes interfaces réseaux à des zones. Il existe trois sortes de zones : * **Zone Interne** : cette zone concerne un réseau interne qui est censé pouvoir sortir sur internet ou la zone démilitarisée mais en aucun cas recevoir du trafic initié et venant par ces deux dernières. (la zone la plus sécurisée). * **Zone externe** : en générale internet ou réseau de sortie * **Zone démilitarisé** : c'est, dirons nous, la zone sensible. C'est la zone qui accepte des connexions venant de l’extérieur (Internet ) sur des services précis comme le mail, le web...... c'est donc là que nous mettrons les serveurs pour tous ces services sensibles. Sélectionnez le périphérique dans le tableau puis cliquez sur **Changer** pour affecter vos périphériques réseau aux zones du pare-feu. {{:yast:fw3.png|}} Entrez les chaines spéciales, telles que any (n'importe lequel), en utilisant **Personnalisé**. Si vous avez besoin de masquage, la chaîne any (n'importe lequel) n'est pas autorisée. {{:yast:fw4.png|}} Chaque périphérique réseau doit être affecté à une zone de pare-feu. Le trafic réseau au travers d'une interface non affectée est bloqué. N'ayant pas deux cartes réseaux dans mon PC, j'ai donc créé une virtuelle puis rempli le formulaire personnalisé. {{:yast:fw8.png|}} Pour donner ceci: {{:yast:fw9.png?650;|}} ==== Services autorisés ==== Cette fenêtre : {{:yast:fw5.png?650;|}} Spécifiez ici les services ou les ports qui doivent être accessibles à partir du réseau. Les réseaux sont divisés en zones de pare-feu. Pour autoriser un service, sélectionnez la **Zone** et **le Service** à autoriser, puis cliquez sur **Ajouter**. Pour supprimer un service autorisé, sélectionnez la **Zone** et le **Service autorisé**, puis cliquez sur **Supprimer**. En dé-sélectionnant Protéger le pare-feu de la zone interne, vous supprimez la protection de la zone. Aucun service et port ne sera protégé à partir de cette zone. Il est possible de configurer des paramètres supplémentaires à l'aide de l'option **Avancé**. Les entrées doivent être séparées par un espace. Cette option permet de définir des ports TCP, UDP et RPC, ainsi que des protocoles IP. {{:yast:fw6.png?650;|}} lisez bien ce qu'il y a dans le coté gauche cela peut servir ;) Les ports TCP et UDP peuvent être entrés comme des noms de ports (ftp-data), des numéros de ports (3128) et des plages de ports (8000:8520). Les ports RPC peuvent être entrés comme des noms de services (portmap ou nlockmgr). Entrez les protocoles IP comme des noms de protocoles (esp). ==== Masquage ==== {{:yast:fw10.png?650;|}} Le masquage est une fonction qui cache votre réseau interne derrière votre pare-feu et permet à votre réseau interne d'accéder au réseau externe tel que Internet, de façon transparente. Les requêtes depuis le réseau externe vers le réseau interne sont bloquées. Sélectionnez Masquer les réseaux pour masquer vos réseaux au réseau externe. Bien que les requêtes du réseau externe ne puissent atteindre votre réseau interne, il est possible de rediriger de façon transparente n'importe quel port requis de votre pare-feu vers n'importe quel IP interne. Pour ajouter une nouvelle règle de redirection, cliquez sur Ajouter et remplissez le formulaire de redirection. {{:yast:fw11.png|}} Pour supprimer une règle de redirection, sélectionnez-la dans le tableau et cliquez sur Supprimer ==== Diffusion générale ==== {{:yast:fw12.png?650;|}} **Configuration de la diffusion générale** Les paquets de diffusion générale sont des paquets UDP spéciaux envoyés à tout le réseau pour trouver les ordinateurs voisins ou envoyer des informations à chaque ordinateur dans le réseau. Par exemple, les serveurs CUPS fournissent des informations au sujet des files d'impression en utilisant des paquets de diffusion générale. Les services SuSEfirewall2 sélectionnés dans des interfaces autorisées ajoutent automatiquement les ports de diffusion générale nécessaires ici. Pour en supprimer ou en ajouter d'autres, modifiez les listes de ports (séparés par des espaces) pour les zones concernées. Les autres paquets de diffusion générale non acceptés sont journalisés. Dans les réseaux importants, il peut s'agir d'un grand nombre de paquets. Pour supprimer la journalisation de ces paquets, désélectionnez Journaliser les paquets de diffusion générale non acceptés pour les zones souhaitées. **Diffusion générale des réponses (broadcasts)** Habituellement, le pare-feu jette les paquets qui sont envoyés par une autre machine en réponse à des paquets envoyés en diffusion générale par votre système, ex. naviguation Samba ou SLP. Ici, vous pouvez configurer quels paquets sont autorisés à passer à travers le pare-feu. Utilisez le bouton Ajouter pour ajouter une nouvelle règle. Vous devrez choisir la zone du pare-feu et aussi parmi des services pré-définis ou paramétrer votre règle entièrement manuellement. {{:yast:fw13.png|}} ==== Niveau de journalisation ==== {{:yast:fw14.png?650;}} Niveau de journalisation Cette boite de dialogue de permet de configurer les paramètres de journalisation des paquets IP. Vous pouvez configurer ici la journalisation des paquets de connexion entrants. Les paquets sortants ne sont pas journalisés. Il existe deux groupes de paquets IP journalisés : les paquets acceptés et les paquets non acceptés. Vous pouvez choisir parmi trois niveaux de journalisation pour chaque groupe : Tout journaliser pour journaliser chaque paquet, Ne journaliser que ce qui est critique pour ne journaliser que ceux qui vous intéressent, ou Ne rien journaliser pour ne rien journaliser. Vous devez journaliser au moins les paquets acceptés critiques. Le fichier texte généré se trouve dans /var/log/firewall il vous permettra le plus souvent de voir les échanges entre les différents réseaux mais attention pas très friendly. ==== Réglés personnalisées ==== {{:yast:fw15.png?650;|}} Cette partie vous permet de faire vos propres règles via ce formulaire: {{:yast:fw16.png|}} avec ceci comme définition : * **Réseau source** Réseau ou adresse IP d'où la connexion provient, par exemple., 192.168.0.1 ou 192.168.0.0/255.255.255.0 ou 192.168.0.0/24 ou 0/0 (qui signifie tous : all). * **Protocole** Protocole utilisé par ce paquet. Le protocole spécial RPC est utilisé pour les services RPC. Port de destination * **Port de Destination** Le nom du port, le numéro du port ou la plage de ports qui sont autoriés en accès, par exemple smtp ou 25 ou 100:110. Dans le cas du protocole RPC, utilisez le nom du service RPC. Cette entrée est optionnelle. * **Port Source** Le nom du port, le numéro du port ou la plage de ports d'où le paquet provient. Cette entrée est optionnelle. ===== Résumé ===== Une fois vos modifications terminées cliquer sur **suivant** le resumé de votre firewall apparait: {{:yast:fw17.png?650;|}} Vous pouvez maintenant démarrer votre firewall. ===== Annexes ===== Pour mieux apréhender le firewall il faut savoir que SuSEfirewall utilise la commande iptables pour créer/gerer le firewall.Une fois celui ci démarré, un simple iptables -L -n devrait vous en convaincre- * http://fr.wikipedia.org/wiki/Iptables * http://www.linux-france.org/prj/inetdoc/guides/iptables-tutorial * http://www.nbs-system.com/blog/howto-iptables/ pour ce qui est des problèmes de syntaxe dans l'interface Yast, je pense qu'il peut être bon de regarder les fichiers suivants: /etc/init.d/SuSEfirewall2_init /etc/init.d/SuSEfirewall2_setup /etc/sysconfig/network/if-up.d/SuSEfirewall2 /etc/sysconfig/network/scripts/firewall /etc/sysconfig/network/scripts/SuSEfirewall2 /etc/sysconfig/scripts/SuSEfirewall2-batch /etc/sysconfig/scripts/SuSEfirewall2-custom /etc/sysconfig/scripts/SuSEfirewall2-oldbroadcast /etc/sysconfig/scripts/SuSEfirewall2-open /etc/sysconfig/scripts/SuSEfirewall2-qdisc /etc/sysconfig/scripts/SuSEfirewall2-rpcinfo /etc/sysconfig/scripts/SuSEfirewall2-showlog /etc/sysconfig/SuSEfirewall2 /etc/sysconfig/SuSEfirewall2.d /etc/sysconfig/SuSEfirewall2.d/services /etc/sysconfig/SuSEfirewall2.d/services/apache2 /etc/sysconfig/SuSEfirewall2.d/services/apache2-ssl /etc/sysconfig/SuSEfirewall2.d/services/avahi /etc/sysconfig/SuSEfirewall2.d/services/bind /etc/sysconfig/SuSEfirewall2.d/services/dhcp-server /etc/sysconfig/SuSEfirewall2.d/services/dnsmasq-dhcp /etc/sysconfig/SuSEfirewall2.d/services/dnsmasq-dns /etc/sysconfig/SuSEfirewall2.d/services/hplip /etc/sysconfig/SuSEfirewall2.d/services/mysql /etc/sysconfig/SuSEfirewall2.d/services/netbios-server /etc/sysconfig/SuSEfirewall2.d/services/nfs-client /etc/sysconfig/SuSEfirewall2.d/services/nfs-kernel-server /etc/sysconfig/SuSEfirewall2.d/services/ntp /etc/sysconfig/SuSEfirewall2.d/services/postfix /etc/sysconfig/SuSEfirewall2.d/services/rsync-server /etc/sysconfig/SuSEfirewall2.d/services/samba-client /etc/sysconfig/SuSEfirewall2.d/services/samba-server /etc/sysconfig/SuSEfirewall2.d/services/sshd /etc/sysconfig/SuSEfirewall2.d/services/TEMPLATE /etc/sysconfig/SuSEfirewall2.d/services/vnc-httpd /etc/sysconfig/SuSEfirewall2.d/services/vnc-server /etc/sysconfig/SuSEfirewall2.d/services/xdmcp /etc/sysconfig/SuSEfirewall2.d/services/xorg-x11-server /etc/sysconfig/SuSEfirewall2.d/services/ypbind ils sont tous parfaitement commentés malheureusement en anglais. //**Have fun!**//