[Linux-bruxelles] serveur voip sour fedora core 4 /configuration firewall et routes statiques)

Frederic Peters fpeters at entrouvert.com
Jeu 22 Sep 20:54:41 CEST 2005 

jacobso1 écrivait :

> Bonjour la liste,

Tu ne devrais pas répondre à un message sans rapport pour poster un
nouveau sujet.  Pour t'aider, voici l'adresse de la liste:
 linux-bruxelles at lists.bxlug.be
Quand tu veux écrire un message, tu copies cette adresse, tu cliques
sur "nouveau message" puis tu colles l'adresse dans le champ
"Destinataire".  Ainsi les messages n'arriveront pas au mauvais
endroit chez les lecteurs de cette liste.

Ça peut aussi être utile pour toi qui veut une réponse.  Par exemple,
je m'intéresse fort peu à Skype qui est un logiciel propriétaire.  Par
volonté de minimiser le nombre de messages reçus (par exemple si
j'étais connecté avec un simple modem sur une ligne téléphonique un
peu déficiente (ce scénario est assez proche de la réalité)), par
cette volonté, donc, j'ignorerais donc tous les messages d'un fil de
discussion contenant Skype.  Et paf, je passe à côté de ton message
qui n'avait aucun rapport.  Ce qui est dommage parce que je pourrais
être très calé concernant SELinux.

Enfin, voilà, un peu long pour dire qu'il vaut mieux faire un nouveau
message quand il s'agit d'un nouveau message et non d'une réponse à un
message existant.


> Le serveur semble prêt à être mis en collocation
> Mais j'ai du arrêter selinux et le firewall.

Le "firewall"; pour beaucoup d'entre nous, cela ne dira pas grand
chose.  Va-t-on en effet installer une Fedora Core 4 pour voir à quoi
correspondent les règles de firewall par défaut ?  Non.  Pourtant,
iptables est également utilisé sur les autres distributions, pas de
chance, à défaut de connaître ces règles, ces personnes utilisant et
connaissant iptables ne pourront pas t'aider là-dessus.

En effet, a priori, les règles fournies par Fedora fournissent une
bonne base, et c'est dommage de jeter ça.


> Je n'aime pas trop ça pour une machine avec adresse 'publique'
> 
> Je suis trop nouveau pour bien saisir toute la syntaxe d'iptables
> 
> Situation :
> 2 ports ethernet : 
> 	Public : 1.2.3.4 (par exemple)
> 	Privé : 19.168.1.10
> 
> Le port public doit 
> -	accepter les flots voip en udp sur 5060 à 5064 
> 	et 10000 à 65534 ainsi que de 5060 à 5064 en tcp.
> -	refuser telnet, syslog, http, ftp, tftp, ...
> 	(bien que http (80) pourait être utilisé par la suite)
> 	Ping serait bloqué en première instance
> -	certainement refuser vnc, mysql, ...

Là, à nouveau, un point général mais d'importance.  Ça ne sert à rien,
mais alors à rien de refuser telnet, syslog, http, ftp, tftp, etc. si
ces serveurs ne tournent pas, si ces serveurs n'écoutent pas sur
l'interface publique.

> Le port public accepte tout

Le port privé.


> Aussi je dois indiquer par une route statique que le réseau vpn passe par le
> port privé. Donc 192.168.2.0, 192.168.3.0, 192.168.4.0 doivent être routés
> via le 192.168.1.1 (bon, ça ce n'est pas iptable)

Ce n'est en effet pas iptables, restons-en donc pour le moment à
iptables.

D'abord un point sur le "refuser".  On pourrait dire qu'il y a deux
manières de refuser.  La première est de rejeter le paquet, la seconde
est de laisser tomber le paquet.  Explication:

- scénario 1: reject

  - toc toc
  - il n'y a personne, passez votre chemin

- scénario 2: drop

  - toc toc
  - (...)

Le scénario 1 est plus sympa.

Pour le 2, ce serait traduit par une "policy" iptables, et ensuite
énoncer les paquets autorisés.
  iptables -P INPUT DROP

Pour le 1, ce serait traduit par une règle spéciale, qui arriverait en
fin de course, derrière toutes les autres, c'est-à-dire celles
énonçants les paquets autorisés.
  iptables -A INPUT -j REJECT

Truc bien, ici, c'est que comme on ne veut cette règle de rejet que
pour l'interface privée, on peut le spécifier, alors qu'avec le
"policy", on ne peut pas.
  itpables -A INPUT -i eth1 -j REJECT

Sûr, un drop peut se faire de la même manière:
  itpables -A INPUT -i eth1 -j DROP


Voilà donc la dernière règle.  Celle pour les paquets "autres".

Que faut-il accepter ?

> -	accepter les flots voip en udp sur 5060 à 5064 
> 	et 10000 à 65534 ainsi que de 5060 à 5064 en tcp.

iptables -A -p udp --dport 5060-5064   -j ACCEPT
iptables -A -p udp --dport 10000-65534 -j ACCEPT
iptables -A -p tcp --dport 5060-5064   -j ACCEPT

C'est tout.



        Frédéric


> -- 
> No virus found in this outgoing message.
> Checked by AVG Anti-Virus.
> Version: 7.0.344 / Virus Database: 267.11.3/107 - Release Date: 20/09/2005

PS: Il y a moyen de virer cette pub ?

Plus d'informations sur la liste de diffusion Linux-bruxelles