Paramétrage du firewall

Paramétrage du firewall

 Avant toute chose, activons le nat pour que les paquets circulent.

Activation du Nat

Avant de paramétrer notre Firewall, qui va servir de passerelle, on doit activer le Nat.

On passe net.inet.ip.forwading à 1 dans /etc/sysctl sur OpenBSD.
On fait un echo 1 > /proc/sys/net/ipv4/ip forward sous Linux.

 

Du côté d'OpenBSD : PF
 

Nous pouvons mettre en place un fichier pf.conf approprié pour notre firewall.


Paramètres généraux
    ext if=”xl0”
    int if=”em0”
    reseau interne=”192.168.0.0/24”


Pour que les paquets TCP invalides soient rejettés :
    scrub in all

Autorisation de dialoguer
    pass quick on em0 proto carp keep state
    pass quick on xl0 proto carp keep state
    pass quick on em0 proto pfsync
    nat on $ext if from !($ext if) to any -> ($ext if)

Pour notre firewall même
    block in all
    block out all
    pass quick on lo0 all nosync
    pass out on $ext if proto tcp all modulate state flags S/SA
    pass out on $ext if proto udp, icmp all keep state
    pass in on $int if from $reseau interne to any
    pass out on $int if from any to $reseau interne

 

Du côté de Linux : NetFilter


Paramètres généraux à mémoriser
    interface intérieure : eth0, carp0 (192.168.10.252) : réseau 192.168.10.0/24
    interface extérieure : ath0, carp1 (192.168.0.253) : réseau 192.168.0.0/24

Autorisation de dialoguer
    iptables -t nat -A POSTROUTING –dst 192.168.0.0/24 -j
    SNAT –to-source 192.168.10.52
    iptables -A FORWARD -i ath0 -o eth0 -m state –state
    ESTABLISHED,RELATED -j ACCEPT
    iptables -A FORWARD -i eth0 -o ath0 -j ACCEPT
    iptables -A FORWARD -j LOG

Pour notre firewall même
    iptables -P INPUT DROP
    iptables -P OUTPUT DROP
    iptables -P FORWARD DROP
    iptables -A INPUT -i eth0 -o ath0 -j ACCEPT
    iptables -A OUTPUT -i ath0 -o eth0 -j ACCEPT

Et pour ne rien perdre, le tout étant en mémoire vive
    iptables-save > mesRegles.ip avec dans mon script de démarrage
    iptables-restore < mesRegles.ip

Postez votre commentaire...


Warning: Creating default object from empty value in /var/www/alternc/p/planete/www/planete.lautre.net/modules/mod_udjacomments/helper.php on line 387