[RESOLU] pb configuration MNF2

[Gandalf]

Sinon, je sais bien que Shorewall est le firewall des Mandrake-Mandriva depuis déjà quelques années. C'est aussi mon choix depuis pas mal de temps. Et je suis un peu triste que ce ne soit pas le choix d'IPCOP. Rien que sur les questions, qui reviennent sans cesse, des doubles interfaces Green ou des schémas Green+Blue. J'aime bien l'expression de MNF : le "multi-zones".

Je ne peux qu'adhérer a tout ça !

[jdh]

Merci Gandalf

Je ne peux que recommander la lecture du dernier n° de MISC (n° 21/Sept-Oct 2005) sur les limites de la sécurité.

Comme souvent (toujours ?) des articles très intéressants ! Ce bi-mois ci,

- Filtrage : de l'utilité d'un firewall ?
- IPS/IDS : que detectent-ils vraiment ?
- Firewalls personnels : sont-ils réellement fiables ?
- Auditer une passerelle VPN

Vraiment un très bon n° ! Un n° qui alimente la réflexion et qui note la permanente et nécéssaire "auto-analyse" des choix et actions que l'on peut faire chaque jour en tant que professionnels des réseaux et de la sécurité.

NB : je suis plutôt Debian - Shorewall.

[Malmon]

1- pourquoi avoir un routeur derrière la mnf car si j ai bien lu c'est ton routeur qui à ton adresse "public"
Donc si je dis pas de bêtises tu as une double "translation d'adresse" (NAT) par rapport à certain logiciel cela va être une galère.

C'est un modem-routeur en location par notre FAI
Et pour le double NAT je pense pas que je peux faire autrement.

2- A ta place dans dans la mnf "default policies" remplace REJECT par DROP

C'est quoi exactement la différence entre DROP ET REJECT

3- Tu dis "Mon entreprise vient d'acheter la MNF2,l'install se déroule bien ( bien que je ne peux choisir la langue anglais par défaut)" , donc ta version est enregistré chez mandriva.
Peux tu si tu en as la possibilité te renseigné auprès du support pour ce problème de langage.

En veirifant sur la boite du CD , à coté du code barre : MNF-10EN.
Je suppose donc que c'est une version anglaise et non une version français ou multi-langue.
Mais je poserai la question au support,en esperant avec une réponse car j'avais déja poser la meme question pour mon prob et je n'ai eu aucune réponse.

[casse gueule]

Bonsoir "Malmon"et merci de ta réponse

la différence si je dis pas de betises avec DROP les paquets sont ignorés alors que REJECT les paquets sont renvoyés avec notification au poste qui emet

A confirmer avec d'autres personnes


Merci

[HaM]

Bonsoir "Malmon"et merci de ta réponse

la différence si je dis pas de betises avec DROP les paquets sont ignorés alors que REJECT les paquets sont renvoyés avec notification au poste qui emet

A confirmer avec d'autres personnes


Merci

Il me semble bien que c'est ça

[Jacques-]

Je confirme pour DROP on jette le paquet sans informer la source (ce qui n'est pas bien du point de vue des RFC, mais c'est nettement mieux pour la sécurité) et avec REJECT, on le jette en renvoyant un message ICMP d'information à la source.
Le défaut du REJECT, c'est que dans le cas d'un attaquant, il sait qu'il y a quelque chose derrière l'adresse et/ou le port qu'il vient de tester.
Dans le cas du DROP, c'est un trou noir, ce qui complique l'analyse (mais il reste des méthodes pour vérifier en essayant de tester plus loin dans le réseau, derrière le FW).

Donc, préférer le DROP.

Jacques


PS : toujours pas eu le temps de me pencher sérieusement sur la MNF2... je vais y arriver j'espère pour décortiquer les mises à jour... mais pour le peu que j'ai vu sur les serveurs Mandriva, les paquets RPM pour la MNF ne sont pas les mêmes (au moins pour le nom) que les paquets des versions classiques. Ce qui risque de poser des problèmes sérieux d'installation, un paquet classique ne trouvant pas dans la base RPM le nom des paquets nécessaires (ils vont contenir au moins mnf dans le nom) et refusera donc de s'installer.
Ensuite, la différence de config peut exister entre autre dans le fonctionnement par défaut avec un chroot prévu pour la mnf et non géré pour une distrib classique...

A suivre