[Admin-ml] Firewall Macos Server Admin

Hugo Letemplier gohu35 at live.fr
Ven 22 Mai 11:24:45 CEST 2009


Le 21 mai 09 à 21:14, Olivier DUCROT a écrit :

>
>
>
> le 18/05/09 19:04, Hugo Letemplier à gohu35 at live.fr a écrit :
>
>>
>> Le 18 mai 09 à 17:11, Hugo Letemplier a écrit :
>>
>>> Bonjour,
>>>
>>> J'ai configuré un firewall avec server admin sous Mac OSX Leopard
>>> server.
>>> Mon serveur me sert aussi de routeur et de NAT et lorsque je
>>> configure l'onglet service dans la gestion du pare feux j'imaginais
>>> qu'il s'agissait uniquement des flux entrant à destination du
>>> serveur or non un filtrage intégral des flux passants par cette
>>> passerelle.
>>>
>>> Je ne vois pas l'intérêt de faire un premier onglet "Services" sans
>>> gestion de la destination et un autre "avancé" avec configuration de
>>> l'ip de destination.
>>>
>>> En voyant service je m'imagine qu'il s'agit des flux entrants a
>>> destination du serveur et en fait non il s'agit uniquement des flux
>>> de manière générale.
>>>
>>> Aurais-je oublié un subtilité car je ne souhaite pas empêcher les
>>> utilisateurs de mon réseau d'utiliser d'autres services sur d'autres
>>> serveur sur l'internet.
>>
>>
>> J'ai lu que certaine personnes avait des problèmes de ce genre a  
>> cause
>> d'un firewall adaptatif comme quoi il bloquerait certaine IPs comme
>> bon lui semble
>> J'ai de subnet un publique en /27 et un privé. Avez vous une idée ?
>> Quelqu'un a il déja entendu parler de cela ?
>> Merci d'avance
>> Hugo

> Je ne rencontre aucun pb avec le firewall de MacOS X Server.
> Les réglages sont assez fins. La configuration à l'aide du GUI  
> Server Admin
> est un peu limitée, celle à l'aide de la CLI du même nom est très  
> bien.
Ok je vais me pencher un peu plus sur la CLI de server admin que je  
n'ai volontairement pas utilisé car je suis en stage ou ma mission est  
de résoudre quelques problèmes de réseau, le boss n'est pas un admin  
et a pas forcement le temps et l'argent pour gérer cela n'ayant pas un  
très bon niveau il se contente de server admin en GUI.
Mais le pare feux étant indispensable je peu pas me permettre  de  
laisser passer quoi que ce soit, même si il est pas trop pour,  et  
bien CLI quand même.
> Deux intérêts dans la liste "Services" :
>
> - la liste des ports et leur correspondance pour ceux qui en ont  
> besoin
> - la possibilité de mettre rapidement des règles en place.
Mon serveur servant aussi de passerelle NAT, j'ai un problème car les  
paquets entrants vers le NAT sont aussi considérés comme a destination  
du serveur.
La translation NAT n'est elle pas sensée s'opérer avant les règles de  
firewall?

Aussi pourquoi utiliser du NAT pour un routage qui se fait a  
destination d'IPs Publiques appartenant au même réseau de niveau 2?  
J'ai remarqué avec Wireshark que beaucoup de flux qui transitent  
uniquement depuis et à destination de mon réseau local étaient natés.  
Serait ce parce qu'il s'agit tout simplement d'adresses publiques ?
>
>
> Pour affiner, SA en CLI est notre ami
>
> Je déconseille vivement l'utilisation conjointe de ipfw et SA.
>
>         _________________________________________________________
>         |                                                       |  
>         |                                                       |  
>      / )|                    Olivier DUCROT                     |( \
>     / / |               ACSP, ACTC & ACSA 10.5                  | \ \
>   _( (_ |                                                       |  
> _) )_
>  (((\ \>|_/->_______________________________________________<-\_| 
> </ /)))
>  (\\\\ \_/ /                                                 \  
> \_/ ////)
>   \       /                                                    
> \       /
>    \    _/                -----====+====------                  
> \_    /
>    /   /                                                        \    
> \  
Merci à cette super mailling list qui m'aide beaucoup car je débute  
sur Mac. Vous serez sur mon rapport de stage dans les  
remerciements^^(DUT Réseaux et Telecom)


Plus d'informations sur la liste de diffusion Admin-ml