Differences

This shows you the differences between two versions of the page.

Link to this comparison view

bsd:firewalling [2010/01/12 13:29] (current)
Line 1: Line 1:
 +Rapide tour d'​horizon des possibilités d'ipf.
 +Reportez vous à [[http://​www.obfuscation.org/​ipf/​ipf-howto.html|ce document]] pour une documentation plus complete.
 +
 +Pour utiliser ipf, il est nécessaire que le noyau soit compilé avec l'​option :
 +
 +  option ​         IPFILTER
 +
 +et éventuellement
 +
 +  option ​         IPFILTER_LOG
 +
 +Dans la suite de ce document, les regles annoncées sont à mettre dans le fichier /​etc/​ipf.rules. L'​activation de ces regles se fait par la commande :
 +
 +  # ipf -f /​etc/​ipf.rules
 +
 +  * Bloquage d'une classe entiere
 +
 +  * exemple 1 :
 +
 +  # On interdit l'​acces a notre machine à la classe 24.5.3.0/24
 +  # On laisse passer tout le reste.
 +  block in quick from 24.5.3.0/24 to any
 +  pass in all
 +
 +  * exemple 2 :
 +
 +  # On interdit l'​acces a notre machine à la classe 24.5.3.0/24
 +  # mais uniquement sur l'​interface ne0
 +  # On laisse passer tout le reste
 +  block in quick on ne0 from 24.5.3.0/24 to any
 +  pass in all
 +
 +  * Bloquage d'une classe entiere par prototype
 +
 +  * exemple 3 :
 +
 +  # On interdit l'​acces aux protocole icmp de notre machine à la classe 24.5.3.0/24
 +  # On laisse passer tout le reste
 +  # On pourrait bloquer de la meme maniere le protocole tcp ou udp
 +  block in quick proto icmp from 24.5.3.0/24 to any
 +  pass in all
 +
 +  * exemple 4:
 +
 +  # On interdit toute machine à acceder au protocole icmp de la classe 192.168.1.0/​24
 +  block in quick proto icmp from any to 192.168.1.0/​24
 +  pass in all
 +
 +  * 3. Bloquage par prototype et par port
 +
 +  * exemple 5:
 +
 +  # On interdit quiconque d'​accéder au telnet sur l'​interface ne0
 +  # On laisse passer tout le reste
 +  block in quick on ne0 proto tcp from any to any port = 23
 +  pass in all
 +
 +  * exemple 6:
 +
 +  # On interdit toute machine à acceder à tous les services tcp sur les ports < 1024 sur l'​interface ne0
 +  # On laisse passer tout le reste
 +  block in quick on ne0 proto tcp from any to any port < 1024
 +  pass in all
 +
 +A vous de combiner ces regles afin de sécuriser au mieux votre machine / réseau.
  
bsd/firewalling.txt · Last modified: 2010/01/12 13:29 (external edit)