Configuration de base

Option IPv6

• desactiver IPv6 (il est sans doute préférable de ne pas supporter IPv6 plutôt que de le faire mais d'avoir une passoire).

echo net.ipv6.conf.all.disable_ipv6=1 > /etc/sysctl.d/local-no-ipv6.conf
sysctl --system

Option routage

• activer le forward

echo net.ipv4.ip_forward=1 > /etc/sysctl.d/local-forward.conf
sysctl --system

NAT

iptables / NAT

• faire un simple masquerading d'IP

iptables -t nat -A POSTROUTING -o <outbound_interface> -j MASQUERADE

Configuration FireHOL

FireHOL permet de facilement mettre en place un firewall efficace. Dans le cas de machine GNU/Linux qui ont souvent une configuration par défaut robuste le problème se pose peu. Par contre s'il faut proteger des machines non linux ou faire de la protection de reseau (les invités sur le réseau wifi ne doivent pas voir le réseau interne ou on permet des connexions d'internet vers l'application mais on protège contre les syn-floods).

• apres un apt-get install firehol, faire un

 firehol helpme > /etc/firehol/test-conf

• editer le fichier /etc/firehol/test-conf, il devrait ressembler a ca:

interface eth0 dhcp
       policy return
       server dhcp accept

interface eth0 lan src "10.21.0.0/24" dst 10.21.0.254
       policy reject
       # Here are the services listening on eth0.
       server dhcp accept
       server dns accept
       server ICMP accept
       server ssh accept
       client all accept

interface eth1 wan
       policy reject
       server ICMP accept
       server ssh accept
       client all accept

router lan2wan inface eth0 outface eth1 src "10.21.0.0/24"
      masquerade
      server all accept