Journal Un kernel pour un firewall et NAT

Posté par  (site web personnel) .
Étiquettes : aucune
0
14
août
2003
Cher Journal,
Je cherche des informations pour connaitre les options de configuration d'un kernel qui sera utilise en tant que firewall et NAT.
Y a t il des patches specifiques a ajouter ?
Ou sinon connais tu une distribution fournissant un kernel qui correspondra a mes besoins ?
Merci.

  • # Re: Un kernel pour un firewall et NAT

    Posté par  (site web personnel) . Évalué à 2.

    1ere option à activer : "Networking options"->"Network packet filtering"

    Ensuite un peu plus bas : IP: Netfilter Configuration tu as toutes les options de filtrage et de nat que tu peux mettre en module.

    La plupart des distributions fournissent des kernel qui ont déjà ces options activées. Je ne sais pas si c'est toujours le cas mais à une époque la mandrake fournissait un package kernel-secure qui comportait en plus des patchs de renforcement de la sécurité (grsec).

    • [^] # Re: Un kernel pour un firewall et NAT

      Posté par  (site web personnel) . Évalué à 2.

      Je croyais que c'etait mal d'activer le support des modules sur un firewall parce qu'un mechant pas beau peu ensuite charger un module cache qui espionera le system...
      Merci pour le tuyau concernant grsec, je vais regarder ca de plus pret :)

      • [^] # Re: Un kernel pour un firewall et NAT

        Posté par  (site web personnel) . Évalué à 1.

        Oui effectivement, faut faire la balance entre confort et sécurité, personnellement j'ai une carte réseau USB qui a une facheuse tendance a ne pas marcher au boot et qui fonctionne bien après qlq rmmod/insmod (vive l'upload de firmware).

        De plus je ne suis pas sur que tous les modules netfilter fonctionnent bien lorsqu'ils sont en dur, j'ai peut-être gardé une vieille impression des débuts de Netfilter où ça merdait un peu.

        • [^] # Re: Un kernel pour un firewall et NAT

          Posté par  (site web personnel) . Évalué à 1.

          Je pense que le choix entre confort ou securite est securite. A quoi ca sert d'avoir qqch de confortable si ce n'est pas secure... surtout pour un firewall...
          J'ai des cartes PCI tout ce qu il y a de plus normal ;)

  • # Re: Un kernel pour un firewall et NAT

    Posté par  . Évalué à 3.

    Il y a eu une news sur le sujet il y a pas longtemps (utilisation du nat et firewall avec iptables)
    http://linuxfr.org/2003/07/21/13334.html(...)

    a priori au niveau du kernel ca donne
    * Enable loadable module support (CONFIG_MODULES) : Y
    * Packet socket (CONFIG_PACKET) : Y
    * Network packet filtering (replaces ipchains) (CONFIG_NETFILTER) : Y
    * Unix domain sockets (CONFIG_UNIX) : Y
    * TCP/IP networking (CONFIG_INET) : Y
    * IP: advanced router (CONFIG_IP_ADVANCED_ROUTER) : Y
    * Connection tracking (required for masq/NAT) (CONFIG_IP_NF_CONNTRACK) : M
    * FTP protocol support (CONFIG_IP_NF_FTP) : M
    * IRC protocol support (CONFIG_IP_NF_IRC) : M
    * IP tables support (required for filtering/masq/NAT) (CONFIG_IP_NF_IPTABLES) : M
    * Packet filtering (CONFIG_IP_NF_FILTER) : M
    * Full NAT (CONFIG_IP_NF_NAT) : M
    * Limit match support (CONFIG_IP_NF_MATCH_LIMIT) : M
    * Connection state match support (CONFIG_IP_NF_MATCH_STATE) : M
    * MASQUERADE target support (CONFIG_IP_NF_TARGET_MASQUERADE) : M
    * REDIRECT target support (CONFIG_IP_NF_TARGET_REDIRECT) : M
    * LOG target support (CONFIG_IP_NF_TARGET_LOG) : M
    * ULOG target support (CONFIG_IP_NF_TARGET_ULOG) : M

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.