Forums FUG-FR
https://forums.fug-fr.org/cgi-bin/yabb2/YaBB.pl
FreeBSD >> Réseau et sécurité >> Petite conf sur ipfw
https://forums.fug-fr.org/cgi-bin/yabb2/YaBB.pl?num=1284139063
Message started by Citrik_Elektrik on 10. Sep 2010 at 19:17

Title: Petite conf sur ipfw
Post by Citrik_Elektrik on 10. Sep 2010 at 19:17
Salut à tous,

J'ai besoin d'un petit coup de main pour construire un fichier de conf pour ipfw ou plutôt pour son portage sous Windows wipfw (http://wipfw.sourceforge.net/).

Le contexte : j'ai une application qui est utilisée pour le transfert d'informations sensibles. Celle-ci écoute sur le port 1414 en tcp sans possibilité d'ajouter une authentification au flux qui sont relayés. J'aurais donc souhaité limiter l'écoute de cette application sur le localhost mais ceci n'a malheureusement pas été prévu par l'éditeur. Une fois lancée, l'application écoute donc sur toute les interfaces sur le port 1414 ce qui signifie que toutes les machines de son réseau peuvent se connecter et envoyer des flux.

Comme contournement de cette limitation, j'ai cherché un firewall qui soit assez léger et peu intrusif pour ne pas allourdir la solution ni générer d'effets de bord pour les autres applications fonctionnant sur le serveur. J'ai donc opté pour wipfw qui semble répondre parfaitement à ces critères. Seul problème : sa syntaxe est plutôt complexe pour un néophyte et je n'ai pas assez de pratique dans le domaine pour être sûr de ce que je fais.

Plutôt que digérer des dizaines de pages de doc pour ce micro-problème, je me suis dit qu'il valait mieux demander directement à des gens qui manipulent l'outil depuis des années (et qui ont la chance de le faire sur un vrai OS...  :-[) pour torcher le problème en 10 secondes montre en main!  ;D

Récapitulons : les processus tournant sur mon serveurs doivent être capable de se connecter sur 127.0.0.1:1414 mais les autres machines du réseau doivent être bloquées lorsqu'elles essayent de se connecter sur ce port.

Le fichier de conf par défaut de wipfw est le suivant :
# First flush the firewall rules
-f flush

# Localhost rules
add 100 allow all from any to any via lo*

# Prevent any traffic to 127.0.0.1, common in localhost spoofing
add 110 deny log all from any to 127.0.0.0/8 in
add 110 deny log all from 127.0.0.0/8 to any in

#Testing rules, to find ports used by services if we aren't sure. These rules allow ALL traffic to pass through the firewall, disabling any subsequent rules
#add 140 allow log logamount 500 tcp from any to any
#add 150 allow log logamount 500 udp from any to any

add check-state
add pass all from me to any out keep-state
add count log ip from any to any


Merci d'avance à tous pour vos réponses !

Remarque : les habitués auront reconnus le port, 1414 utilisé par Websphere MQ de IBM, anciennement MQ-Series. Il ne s'agit pourtant pas de MQ mais du SupportPac MQ-IPT qui ne sait malheureusement pas limiter l'écoute sur localhost.

Title: Re: Petite conf sur ipfw
Post by David_Marec on 12. Sep 2010 at 10:54
Bonjour,


Citrik_Elektrik wrote on 10. Sep 2010 at 19:17:
Salut à tous,

J'aurais donc souhaité limiter l'écoute de cette application sur le localhost mais ceci n'a malheureusement pas été prévu par l'éditeur.


Sur l'interface locale, plutôt.


Quote:
Seul problème : sa syntaxe est plutôt complexe pour un néophyte et je n'ai pas assez de pratique dans le domaine pour être sûr de ce que je fais.


Je ne trouve pas la syntaxe de ipfw si compliquée que ça.
Le vrai défi est d'intégrer l'art et la manière de construire un réseau et de le protéger.



Quote:
Récapitulons : les processus tournant sur mon serveurs doivent être capable de se connecter sur 127.0.0.1:1414 mais les autres machines du réseau doivent être bloquées lorsqu'elles essayent de se connecter sur ce port.


Donc, tout autoriser sur la boucle locale,
- ne pas se préoccuper de tel ou tel port -,
et interdire l'accès au port 1414 sur les interfaces réseaux.

Je suppose que tous les autres ports doivent être ouverts, que votre machine n'est pas une passerelle, etc.

http://www.freebsd.org/doc/handbook/firewalls-ipfw.html

Rapidement, ça fait un bail que je n'y ait pas touché:
[code]
# First flush the firewall rules
-f flush

# Localhost rules
add 100 allow all from any to any via lo*

# Prevent any traffic to 127.0.0.1, common in localhost spoofing
add 110  deny log all from any to 127.0.0.0/8
add 110 deny log all from 127.0.0.0/8 to any

add pass tcp from any to any established
add pass all from any to any frag
# Bloquer le port 1414
add deny tcp  from any to me 1414
add pass all from any to any
[/code]

Title: Re: Petite conf sur ipfw
Post by Citrik_Elektrik on 16. Sep 2010 at 11:27
Merci beaucoup pour cette réponse. J'ai recreusé la conf sur un environnement de test depuis et la configuration proposée est fonctionnelle.

Merci encore et très bonne journée à vous !  ;)

Forums FUG-FR » Powered by YaBB 2.5.2!
YaBB Forum Software © 2000-2025. All Rights Reserved.