Le script rc.UTIN.firewall.txt bloque le LAN qui est situé derrière nous. En d'autres termes, nous ne faisons pas confiance aux réseaux auxquels nous sommes connectés. Nous n'autorisons personne de notre LAN à se connecter à l'Internet, sauf pour des tâches spécifiques. Les seules choses autorisées sont les accès POP3, HTTP et FTP. Nous ne faisons également pas confiance aux utilisateurs internes pour accéder au pare-feu comme pour les utilisateurs sur l'Internet.
Le script rc.UTIN.firewall.txt
nécessite que les options suivantes soient compilées en statique
dans le noyau, ou en modules. Sans une ou plusieurs des ces
options, le script ne fonctionnera pas correctement ou sera même
inutilisable. Si vous modifiez ce script vous aurez peut être
besoin d'options supplémentaires qui devront aussi être compilées
dans le noyau.
-
CONFIG_NETFILTER
-
CONFIG_IP_NF_CONNTRACK
-
CONFIG_IP_NF_IPTABLES
-
CONFIG_IP_NF_MATCH_LIMIT
-
CONFIG_IP_NF_MATCH_STATE
-
CONFIG_IP_NF_FILTER
-
CONFIG_IP_NF_NAT
-
CONFIG_IP_NF_TARGET_LOG
Le script suit la règle d'or de ne faire confiance à personne,
pas même en vos propres employés. C'est malheureux à dire, mais une
grande partie du hacking/cracking dans une entreprise provient du
personnel interne. Ce script vous donne quelques clés pour remédier
à ça. Il n'est pas très différent du script rc.firewall.txt.