Fragdoktor 0 Posté(e) le 30 mai 2008 Voilà, j'ai quelques questions aux pros du Tux... Je dispose d'une vieille bécane (PIII-733 - 512 RAM) et j'avais lu quelque part soit ici ou ailleurs qu'il était possible de mettre ce genre de PC sous Linux comme firewall matériel et logiciel filtrant toutes les merdes du net pour toujours garder clean le PC placé derrière... Quitte à le faire crever de virus, reformatage, re-linux et c'est reparti Est-ce compliqué à mettre en oeuvre? Perte de bande passante ou pas? Comment procéder? Partager ce message Lien à poster Partager sur d’autres sites
Viking1 0 Posté(e) le 30 mai 2008 Fragdoktor a écrit: Je dispose d'une vieille bécane (PIII-733 - 512 RAM) et j'avais lu quelque part soit ici ou ailleurs qu'il était possible de mettre ce genre de PC sous Linux comme firewall matériel et logiciel filtrant toutes les merdes du net pour toujours garder clean le PC placé derrière... Tout à fait exact. Citation :Quitte à le faire crever de virus, reformatage, re-linux et c'est reparti En théorie exact, mais en principe, tu n'auras jamais à le faire. Citation :Est-ce compliqué à mettre en oeuvre? La question à dix balles. Pour quelqu'un qui fait du unix depuis 20 ans, ça se fait les deux doigts dans le nez. Pour le fils de notre "directeur technique" qui avait entamé des études en informatique, ça s'est révélé mission impossible. Citation :Perte de bande passante ou pas? Pour du trafic "normal", aucune (pour de l'ADSL courant). Si tu veux le faire entre deux points précis et chiffrer la transmission, en utilisant ce genre de bécane, il y a un risque, mais ça n'a pas l'air d'être le sens de ta question. Citation :Comment procéder? Ahem.... A suivre.... Partager ce message Lien à poster Partager sur d’autres sites
Viking1 0 Posté(e) le 30 mai 2008 Le principe C'est tout con. La machine est configurée sans services locaux et sans routage entre les deux interfaces réseau (disons qu'il y a une "localnet" de ton côté et une "globalnet" du côté internet). Ensuite, on dit que le trafic peut être routé du localnet vers le globalnet. C'est fini. La configuration D'abord, il faut choisir une distribution (soit tu achètes les CDs, soit tu downloades du net et tu graves). En ce qui me concerne, j'utilise la Slackware depuis très longtemps, qui est extrèmement sûre, stable et qu est là depuis presque toujours. Mais c'est loin d'être la plus user-friendly. (A noter, en passant, qu'il y a aussi des dérivés de BSD ; tu n'es pas forcément obligé de prendre un linux.) Lancer l'installation en bootant sur le CD et en suivant les instructions. Un moment donné, il demande quel genre d'installation on veut, et pour cet usage, il faut prendre le plus simple. Une fois installé, il faut désactiver tous les services par défaut qui pourraient être installés (un serveur ftp, par exemple) et qui ne seraient qu'une faille potentielle pour un hacker/worm/crasse. Puis réaliser la config des réseaux (réseau local et net) et la config "firewall" décrite plus haut. Impossible à décrire en détail comme ça. Je dirais que ça n'a rien de sorcier pour peu qu'on sache manipuler une machine en ligne de commande et un éditeur "à l'ancienne" comme emacs. Car si c'est pour installer un serveur X (le machin qui destine des rectangles et du texte à l'écran et qui balade une petite flèche quand on bouge la souris), on perd un peu le bénéfice de l'opération. Faut aussi se dire que c'est exactement ce qu'on trouve dans un router/firewall du commerce, qui sont devenus abordables. Donc, si c'est pour le sport ou se former, ça vaut la peine, mais sinon ne serait-ce qu'en consommation, ça n'est pas plus économique dans le long terme. Partager ce message Lien à poster Partager sur d’autres sites
Fragdoktor 0 Posté(e) le 30 mai 2008 Ce sont de bonnes nouvelles que tu m'annonces avec tes réponses. Pour la bande passante, c'est pour un usage standard et quotidien donc ici je n'en serai pas affecté par ce type de montage. Pour la mise en oeuvre, je n'y arriverai pas, du moins pas tout seul c'est sûr. Bah ouais, faire tourner une SuSE, j'ai déjà eu toutes les peines du monde et encore, mon ancien matos, j'arrivais pas à le faire reconnaître alors imagine Je dispose de la machine donc, clavier, mouse et écran supplémentaire, le but étant de n'avoir que la pizza qui fonctionne pour pas trop encombrer un bureau déjà surchargé C'est possible ou je dois conserver un second clavier/souris/écran une fois le firewall-PC démarré? Pour l'intall, ais-je besoin d'un hub RJ45 et de câblages supplémentaires? C'est effectivement pour le sport et me former également. De même que "rentabiliser" un PC qui ne vaut plus rien et plutôt que de le jeter, autant qu'il serve à quelque chose d'intéressant, davantage que d'encombrer mon grenier Niveau consommation, ça n'est jamais que les moments où je suis chez moi et vu mes horaires actuellement, ce ne sera vraiment pas un problème. Le Dell n'étant pas vraiment un modèle de ce point de vue-là... Dernière question, si je t'amène la bestiole, ça te dirait de me la préparer puis de passer m'installer le tout? Pitance, Maitrank,...seront de la partie Partager ce message Lien à poster Partager sur d’autres sites
Viking1 0 Posté(e) le 30 mai 2008 Bon, la souris, déjà, elle ne va pas te servir Pour le clavier, il suffira de dire dans le bios que tu veux booter sans. A la limite, tu peux même coller la console sur le port série ou avoir une config via web. Il doit y avoir des distributions spécialisées qui font ça toutes seules. Je m'en vais essayer de te trouver ça. Question cablage : il faut un mini-hub entre les PCs, ou un câble croisé (ou du wireless si tu trouves ça pour ton 386). Pour la reconnaissance du matos, tu as quoi du côté net ? C'est là que ça risque de coincer éventuellement. Sinon, te préparer et installer le bazar, je vois pas trop où est le sport et la formation dans cette configuration là En conclusion : Je vais voir pour te trouver une ou deux distribs dédicacées à ce que tu veux faire. Tu essaies tout seul comme un grand (éventuellement en posant des questions via le forum), et au final, si tu n'en sors vraiment pas, je récupèrerai le bébé. Partager ce message Lien à poster Partager sur d’autres sites
Fragdoktor 0 Posté(e) le 30 mai 2008 Ca marche Au moins j'ai de brol, au mieux c'est...du Plug-n-Play...ou Pray et c'est gentil de te mettre en chasse après les distribs et question matos du bébé, rien d'exceptionnel: Carte graphique VGA intégrée, carte réseau 10/100 D-Link classique et c'est ddéjà tout...pas de carte son, rien. Remettre les mains dans le cambouis, ça fait une paille et pourquoi pas me réconcilier avec Linux ou autre chose que Doze... Et au moins, j'apprends aussi Partager ce message Lien à poster Partager sur d’autres sites
Viking1 0 Posté(e) le 30 mai 2008 En 5 minutes, je trouve encore plus fort : des trucs qui ont juste besoin d'un CD et/ou d'un floppy. Pas d'install à faire. En vrac : http://www.sentryfirewall.com/ http://www.devil-linux.org/home/index.php http://www.zelow.no/floppyfw/ http://www.bbiagent.net/en/index.html http://www.vyatta.com/ http://www.lintrack.org/ Et il doit y en avoir d'autres. Bravo, tu viens de gagner le droit de faire la première partie du boulot : choisir celle à utiliser Partager ce message Lien à poster Partager sur d’autres sites
Fragdoktor 0 Posté(e) le 30 mai 2008 Tout aussi efficace qu'une install traditionnelle? et laquelle l'expert que tu es me conseillerait? Je boote et c'est tout? Ou je dois entrer qqch en ligne de commande comme je souhaite, après install/boot, ne pas avoir ni clavier ni souris... *ignare inside* le Frag Partager ce message Lien à poster Partager sur d’autres sites
Viking1 0 Posté(e) le 30 mai 2008 Bon, j'avoue, je n'ai pas regardé plus que ça. Mais en gros, ce sont des distributions spécialisées, donc dégraissées de tout ce qui ne sert à rien dans le cadre de ce que tu veux faire. Donc, pas de lecteur MP3, pas de traitement de texte, pas de client mail, et bla-bla-bla. Pour l'efficacité, au niveau routage, ça ne changera rien (c'est le kernel qui fait tout). Par contre tu auras probablement des outils de détection d'intrusion, etc... A noter que si la machine tourne uniquement sur un CD, tu peux avoir toutes les intrusions que tu veux (ce qui je le répète, n'arrivera pas sur un système minimum tournant des composants connus depuis longtemps), le craqueur ne pourra rien sauvegarder comme crasse sur la machine. Donc, déjà, au départ, ça ne l'intéresse pas. Il y a évidemment un minimum de config à faire. C'est un fichier à mettre sur une disquette protégée en écriture (franchement, c'est une solution temporaire). Quand tu es sûr de ta config, tu mets le fichier sur le CD, et hop, c'est fini. Pour le choix, je pense que tu devrais probablement le faire toi-même. Quel est le site où tu trouves que la doc est la plus lisible, par exemple ? Partager ce message Lien à poster Partager sur d’autres sites
Fragdoktor 0 Posté(e) le 30 mai 2008 A première vue, je dirais BBIAgent et en second lieu Sentry...mais faut que je lise tout ça à tête reposée mais il me semble que ça soient les sites les plus clairs au vu de mon peu de compétences linuxiennes... Partager ce message Lien à poster Partager sur d’autres sites
Viking1 0 Posté(e) le 30 mai 2008 Je regarderai d'un peu plus près dés que j'ai un peu de temps, mais autant que tu te fasses ta propre idée avant. Partager ce message Lien à poster Partager sur d’autres sites
Fragdoktor 0 Posté(e) le 30 mai 2008 Je tâcherai d'attaquer ça le we prochain car celui qui commence est déjà overbooked pire que ma semaine J'irai voir les prix des hub réseau aussi mais comme je ne suis pas dans l'urgence, j'ai le temps d'étudier et d'approfondir la matière... ...et t'embêter avec toutes mes questions Partager ce message Lien à poster Partager sur d’autres sites
Yuna1 0 Posté(e) le 30 mai 2008 c'est marrant ici......dans chaque post, il y a au moins 1 mot dont je n'ai pas la moindre idée de ce qu'il veut dire! Partager ce message Lien à poster Partager sur d’autres sites
Fragdoktor 0 Posté(e) le 30 mai 2008 Dans ce sujet, c'est lequel? Partager ce message Lien à poster Partager sur d’autres sites
Yuna1 0 Posté(e) le 30 mai 2008 hub évidemment! bien que ce soit le surnom d'un copain! Partager ce message Lien à poster Partager sur d’autres sites
mimininique 0 Posté(e) le 30 mai 2008 HUB: En anglais, le mot hub au sens premier désigne le centre d'une roue (ou d'un cylindre) et peut donc se traduire par [noyau]. Par extension, il est également employé dans les domaines suivants au sens de centre ou de nœud : en informatique, un hub ou concentrateur est un appareil permettant d'interconnecter electriquement plusieurs appareils, typiquement des ordinateurs (réseau informatique) ou encore des périphériques (USB, Firewire,...]]) ; dans l'aviation, un hub ou plate-forme de correspondance est un aéroport qui permet aux passagers de changer rapidement et facilement de vol. en géographie, un hub est une zone d'interface privilégiée par sa position spatiale et ses infrastructures de communication. On parle souvent de ville-hub telle que Houston. Partager ce message Lien à poster Partager sur d’autres sites
Fragdoktor 0 Posté(e) le 30 mai 2008 On ne pouvait mieux répondre Partager ce message Lien à poster Partager sur d’autres sites
Yuna1 0 Posté(e) le 30 mai 2008 mimininique a écrit:HUB:En anglais, le mot hub au sens premier désigne le centre d'une roue (ou d'un cylindre) et peut donc se traduire par [noyau]. Par extension, il est également employé dans les domaines suivants au sens de centre ou de nœud :en informatique, un hub ou concentrateur est un appareil permettant d'interconnecter electriquement plusieurs appareils, typiquement des ordinateurs (réseau informatique) ou encore des périphériques (USB, Firewire,...]]) ; dans l'aviation, un hub ou plate-forme de correspondance est un aéroport qui permet aux passagers de changer rapidement et facilement de vol. en géographie, un hub est une zone d'interface privilégiée par sa position spatiale et ses infrastructures de communication. On parle souvent de ville-hub telle que Houston. aaah maintenant, plusieurs mots que je n'ai pas compris! je devrais m'amuser à trouver le record haut pour un post! Attendez, moi je vais créer un post sur le darwinisme!! vous ferez moins les malins! Partager ce message Lien à poster Partager sur d’autres sites
Fragdoktor 0 Posté(e) le 30 mai 2008 Théorie selon laquelle l'évolution biologique favorise les gènes les plus aptes pour la survie de l'espèce. Elle constitue le volant scientifique du diction sur la loi du plus fort...sélection naturelle ou quelque peu forcée génétiquement et sujette à caution d'un point de vue éthique... Mais l'éthique, il faut encore la définir Comme transformer un XP en Vista, c'est pas vraiment de l'évolution Partager ce message Lien à poster Partager sur d’autres sites
Viking1 0 Posté(e) le 30 mai 2008 Yuna a écrit:Attendez, moi je vais créer un post sur le darwinisme!! vous ferez moins les malins! Ca c'est vrai. Encore une anecdote à la con ? Allez, c'est parti. Quand on a terminé notre rhéto, j'ai eu droit à l'examen de bio couplé avec celui de physique (le prof de physique, c'était Guillaume, celle de bio, je sais plus, mais elle me pompait l'air), ce qui était déjà bizarre. Chaque prof servant d'assesseur pour l'autre. Encore plus bizarre, on n'avait qu'une question pour les deux examens. Je tire ma question. Paf! un truc sur le Darwinisme. J'ai bien essayé le truc de la pub Dash ("je vous échange votre question de bio contre deux questions de physique"), mais ça n'a pas marché. Que du contraire, elle était encore de plus mauvais poil que d'habitude. Au contraire de Guillaume qui se marrait comme une baleine. Bref, elle me fout dedans, puis elle m'engueule en me disant "vous croyez que je vais revenir d'Espagne en septembre pour vous faire passer une 2e sess' ?". Et finalement elle m'a donné mes points. Moralité : faut pas tuyauter les cours, faut savoir quels profs prennent leurs vacances pendant les deuxièmes sessions Ah, et "hub", c'est le moyeu. Tout lecteur du Disque-Monde sait ça. Sauf comme si son auteur, on est atteint d'alzheimer, cher Yuna Partager ce message Lien à poster Partager sur d’autres sites
Fragdoktor 0 Posté(e) le 30 mai 2008 Il serait pas atteint "tout court"? Partager ce message Lien à poster Partager sur d’autres sites
dsaucez 0 Posté(e) le 31 juillet 2008 Alors, tu en es où pour ton firewall? Perso, dans ton cas, je pense que l'idéal est de mettre une machine en OpenBSD, mais contrairment à ce qui s'est dit plus haut, ce n'est pas facile de faire une bonne config de firewall. Ecrire les règles est simple, mais déterminer les meilleurs règles ne l'est pas. Le principe de base de config de firewall est d'autoriser le moins de choses possible, et réellement mettre le moins possible n'est pas simple si on ne connait pas parfaitement IP et TCP! En plus, un firewall en lui même n'est pas si utile que ça, il faut aussi faire du (N)IDS et donc réussir à analyser les alertes (typiquement analyser des logs), Enfin, pour finir, je préciserai que faire un NAT n'apporte AUCUNE sécurité contrairement à la croyance populaire. Pour viking, ne serais-tu pas consultant en informatique ou quelque chose de très semblable? Partager ce message Lien à poster Partager sur d’autres sites
Viking1 0 Posté(e) le 31 juillet 2008 Pas de gros mots Je développe du soft (pour les geeks, ma meilleure carte de visite est ici). Ca ne fait pas de moi un expert en OS ou en réseaux (et encore moins en Word, Excel ou autres). Ca n'a même rien à voir, contrairement à ce que pensent la plupart des gens. Je bricole un peu, c'est tout. Sinon, je ne suis pas du tout d'accord avec ce que tu dis au-dessus. Faire du NAT suffit déjà à empêcher le routage vers ce qui est derrière. Il n'est pas possible à un système externe de communiquer directement avec un interne si celui-ci n'a pas instancié la communication. En soit, ça supprime déjà 99% des problèmes. Partager ce message Lien à poster Partager sur d’autres sites
dsaucez 0 Posté(e) le 31 juillet 2008 Viking a écrit:Pas de gros mots Viking a écrit: Je développe du soft (pour les geeks, ma meilleure carte de visite est ici). Tu travail chez AT&T? Tu es lequel là dedans? (ton prénom en fait) Viking a écrit: Ca ne fait pas de moi un expert en OS ou en réseaux (et encore moins en Word, Excel ou autres). Ca n'a même rien à voir, contrairement à ce que pensent la plupart des gens. Je bricole un peu, c'est tout. Sinon, je ne suis pas du tout d'accord avec ce que tu dis au-dessus. Faire du NAT suffit déjà à empêcher le routage vers ce qui est derrière. Il n'est pas possible à un système externe de communiquer directement avec un interne si celui-ci n'a pas instancié la communication. En soit, ça supprime déjà 99% des problèmes. Ah ah ah, tu crois vraiment à ce que tu dis? C'est vrai que le NAT traversal est un problème et beaucoup de gens veulent supprimer les NAT (cf IPv6). Mais bon, dès que tu as une entrée dans la cache NAT, tu peux tenter de l'exploiter. C'est vrai qu'en théorie, l'entrée de la cache est retrirée dès la réception d'un (FIN, FIN+ACK, ACK) pour TCP, mais en pratique, c'est souvent après l'expiration d'un timeout assez grand. Et quand tu as de l'UDP, tu passes toujours par le timeout. La difficulté sera bien entendu d'avoir les bons numéros de ports. des dizaines de kiddies scripts te permettent de le faire! Partager ce message Lien à poster Partager sur d’autres sites
Viking1 0 Posté(e) le 31 juillet 2008 dsaucez a écrit:Tu travail chez AT&T? Tu es lequel là dedans? (ton prénom en fait) Michel. Mais non, je ne travaille pas chez AT&T. C'est une des pages du site de Bjarne Stroustrup. Citation :Ah ah ah, tu crois vraiment à ce que tu dis? C'est vrai que le NAT traversal est un problème et beaucoup de gens veulent supprimer les NAT (cf IPv6). Mais bon, dès que tu as une entrée dans la cache NAT, tu peux tenter de l'exploiter. C'est vrai qu'en théorie, l'entrée de la cache est retrirée dès la réception d'un (FIN, FIN+ACK, ACK) pour TCP, mais en pratique, c'est souvent après l'expiration d'un timeout assez grand. Et quand tu as de l'UDP, tu passes toujours par le timeout. La difficulté sera bien entendu d'avoir les bons numéros de ports. des dizaines de kiddies scripts te permettent de le faire! Euh ? Des dizaines de scripts kiddies ne permettront jamais à personne d'avoir une entrée dans ma table NAT si je ne connecte pas d'abord chez eux. Et à partir du moment où on se connecte sur un site de pirates, firewall ou pas firewall, ça ne changera rien. Donc, oui, je crois ce que je dis Partager ce message Lien à poster Partager sur d’autres sites
dsaucez 0 Posté(e) le 31 juillet 2008 Viking a écrit:dsaucez a écrit:Tu travail chez AT&T? Tu es lequel là dedans? (ton prénom en fait) Michel. Mais non, je ne travaille pas chez AT&T. C'est une des pages du site de Bjarne Stroustrup. idtech alors? Viking a écrit: Euh ? Des dizaines de scripts kiddies ne permettront jamais à personne d'avoir une entrée dans ma table NAT si je ne connecte pas d'abord chez eux. Et à partir du moment où on se connecte sur un site de pirates, firewall ou pas firewall, ça ne changera rien. Donc, oui, je crois ce que je dis C'est vrai que tu ne sais pas si facilement que ça faire une attaque directe, ça demande de préduire les numéros de port et l'ip destination et de réussir à spoofer la destination (sauf avec une attaque en un seul paquet UDP). Toutefois, tu peux faire toutes les attaques par relais que tu veux, et ça, c'est très fréquents. Les SYN flood sont aussi possible. C'est donc exactement la même chose qu'un accès direct. Si tu n'as pas de service qui écoute sur un port, tu ne pourras entrer que si une con. est en cours. Partager ce message Lien à poster Partager sur d’autres sites