YaST Firewall
Cet article est à relire ! Cette page demande à être relue pour correction. Si vous pouvez y participer, merci de le faire en accord avec le Guide stylistique openSUSE. |
Sommaire
A propos
Le module pare-feu est utilisé pour configurer le pare-feu installé sur votre système. Un pare-feu est une passerelle qui limite l'accès aux réseaux en accord avec des règles de sécurité locale afin de se prémunir d'attaques extérieures. Les règles se configurent dans ce module.
Configuration
Démarrage
La section Démarrage définit si le pare-feu est lancé au démarrage (recommandé) ou manuellement.
Elle permet d'arrêter ou de démarrer le pare-feu. Elle permet aussi de redémarrer le pare-feu après l'enregistrement de la nouvelle configuration.
Interfaces
Interfaces montre les cartes réseaux de votre ordinateur. Chaque carte peut être utilisée pour une connexion Internet. Le type de la carte est indiqué : Ethernet, Token-Ring, WiFi. Une chaîne descriptive est aussi affichée. Par défaut elle contient l'adresse MAC de la carte. Vous pouvez assigner chaque carte à une zone de confiance (interne, externe, zone démilitarisée). Chaque zone ainsi définie recevra des règles de sécurité spécifiques.
Services Autorisés
Services Autorisés vous permet d'ajouter les services auxquels vous autoriser depuis le réseau et ainsi créer une ouverture dans le pare-feu pour le port requis par le service. De cette manière, les autres ordinateurs pourront accéder ces services. Vous pouvez par exemple souhaiter que votre système serve de DHCP Server, et qu'il assigne aux autres PC's une adresse IP. Si vous n'ajoutez pas le service DHCP Server à la liste des Services Autorisés.
Attention de ne pas autoriser inutilement des services non requis. Chaque ouverture supplémentaire laisse une porte de plus pour une attaque.
Les services configurables sont :
- Client DHCP
- Client DHCP
- Serveur DNS
- Serveur HTTP
- Serveur HTTPS
- Serveur IMAP
- Serveur IMAPS
- IPP Client
- IPP Server
- IPsec
- Serveur LDAP
- Serveur LDAPS
- Serveur Courriel
- Client NFS
- Serveur NFS
- Client NIS
- Serveur NIS
- Serveur NTP
- Serveur POP3
- Serveur POP3S
- Administration à distance
- Synchronisation à distance
- Démon SLP
- SSH
- Serveur Samba
- Serveur TFTP
Pour ajouter un service, sélectionner le simplement de la liste déroulante et cliquez sur Ajouter ou Supprimer. Pour ajouter un service qui ne serait pas listé, cliquez sur Avancé, et entrez le numéro de port TCP, UDP, RPC ou IP comme approprié.
Vous pouvez aussi protéger votre ordinateur d'une zone interne en sélectionnant Protéger le pare-feu de la zone interne. Vous pouvez souhaiter ouvrir des ports différents selon que les connexions viennent du reseau interne , d'une zone démilitarisée ou de l'extérieur.
Masquage
Le Masquage nécessite au moins 2 interfaces réseau pour être activable, une externe puis une autre. Le Masquage aussi connu sous l'acronyme NAT ou Network Address Translation. L'interface externe reçoit des données pour un protocole IP spécifique et redirige les données vers une autre adresse IP sur un autre port déterminé à partir du protocole (et qui peut être différent du port entrant. Le Masquage fournit un couche de protection supplémentaire : Le réseau externe voit une unique adresse IP au lieu d'avoir connaissance de toutes les adresses du réseau interne.
Il permet aussi de pallier au manque d'adresses IPv4.
Pour activer le Masquage, cliquez sur Ajouter pour entrer une redirection. Vous devez spécifier la carte source et le protocole (ou le port).
Diffusion générale
Sous cette rubrique, vous pouvez paramétrer la Diffusion générale aussi appelée multidiffusion ou Broadcast pour chacune des zones : interne, externe et démilitarisée. Une multidiffusion est une transmission de données envoyées à toutes les adresses IP d'un réseau. Ce type de diffusion est utilisée par exemple par des protocoles comme DHCP afin que le client trouve un serveur avec qui communiquer.
A network broadcast can have varying purposes, but the most common is a computers request for an IP. The PC transmits a broadcast calling for a DHCP server to respond. The reply from the DHCP server will also be broadcast back into the network of the computer making the request. On a larger network, such transmissions from the DHCP server will be evident while you already have a connection for that reason. As such, much of this network activity should not be considered malicious, and you may wish to uncheck the box for Log Not Accepted Broadcast Packets for the appropriate zone. By default, this is checked for the Internal and Demilitarized zones, as such traffic is expected. On an external zone, by default, these broadcasts are logged.
Support IPsec
IPsec, ou Internet Protocol Security, est un protocole standard pour une communication sécuriśé au niveau paquet des couches OSI. IPSec est utile pour implanter des réseaux privés virtuels (RPV ou VPN) et pour des accès distants à des réseaux privés (télétravail).
Dans cette section, cochez Activé. Ensuite sélectionnez dans Détail le niveau de confiance que vous attribuez aux données encodées IPSec, vous pouvez ainsi considérer un flux externe IPSec comme un flux interne.
Niveau de journalisation
Dans cette section, vous pouvez choisir le niveau de journalisation pour les paquets acceptés et rejetés. Le paramétrage par défaut ne considère que les paquets critiques. Attention aux volumes des journaux si vous choisissez de tout consigner.
A voir Aussi