Différences

Ci-dessous, les différences entre deux révisions de la page.

--- shorewall [Le 13/07/2007, 11:56]
placisfos
+++ shorewall [Le 11/09/2022, 10:35] (Version actuelle)
moths-art Suppression des espaces en fin de ligne (détecté et corrigé via le bot wiki-corrector (https://forum.ubuntu-fr.org/viewtopic.php?id=2067892)
@@ Ligne 1: / Ligne 1: @@
-===== Shorewall =====
+{{tag>pare-feu sécurité réseau serveur}}
-Shorewall permet d'utiliser son serveur Linux en routeur/firewall. Nous allons voir ici la configuration pour un serveur équipé de 2 cartes réseaux.
+----
-Nous définirons que l'interface eth0 correspond à la carte réseau reliée à internet et l'interface eth1 correspond à celle reliée au réseau local.
-Installation :
+====== Shorewall ======
-<code>
+{{:securite:shorewall-logo.png}}
-sudo apt-get install shorewall
-</code>
-La configuration de shorewall se fait dans /etc/shorewall mais pour l'instant le dossier ne contient pas tous les fichiers de configuration. Il faut donc copier le contenu de /usr/share/doc/shorewall/examples/two-interfaces dans le dossier /etc/shorewall .
+===== Qu'est-ce que Shorewall ? =====
-<code>
+Le pare-feu "Shoreline Firewall", plus communément appelé "Shorewall", est un outil pour configurer plus facilement [[:iptables|Netfilter]]. Shorewall peut être utilisé sur un serveur Linux en routeur/firewall, sur un gateway/routeur/serveur multi-fonction ou sur un système GNU/Linux autonome.
-sudo cp /usr/share/doc/shorewall/examples/two-interfaces/* /etc/shorewall/
-</code>
-Ensuite il faut décompresser les fichiers .gz qui s'y trouvent.
+Shorewall ne tourne pas en tâche de fond comme dæmon. Une fois qu'il a configuré Netfilter, son travail est fini. Il peut être utilisé n'importe quand pour surveiller Netfilter.
-<code>
-sudo gzip -d interfaces.gz masq.gz policy.gz rules.gz
-</code>
-=== Éditer les fichiers de configurations ===
+Shorewall n'est pas l'outil de configuration de iptables le plus facile mais offre une grande puissance et flexibilité. D'autres alternatives sont plus faciles comme kmyfirewall ou [[:GuFw]].
-== interfaces ==
+# TYPE OF OPTIONS IN ZONE OUT
+# OPTIONS OPTIONS
+fw firewall
+# LAST LINE - ADD YOUR ENTRIES ABOVE THIS ONE - DO NOT REMOVE
+# TYPE OF OPTIONS IN ZONE OUT
+# OPTIONS OPTIONS
+fw firewall
+# LAST LINE - ADD YOUR ENTRIES ABOVE THIS ONE - DO NOT REMOVE
+~
+~
+==== /etc/shorewall/interfaces ====
 Permet de définir à quoi correspondent nos 2 interfaces réseaux eth0 et eth1.
-<code>
+<file>
 #ZONE   INTERFACE       BROADCAST       OPTIONS
 net     eth0            detect          dhcp,tcpflags,routefilter,nosmurfs,logmartians
 loc     eth1            detect          dhcp,tcpflags,detectnets,nosmurfs
 #LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE
+</file>
+==== /etc/shorewall/policy ====
+Permet d'accepter ou de rejeter le trafic entre les différentes zones.
+<file>
+# Policies for traffic originating from the local LAN (loc)
+#
+# If you want to force clients to access the Internet via a proxy server
+# on your firewall, change the loc to net policy to REJECT info.
+loc             net             ACCEPT
+loc             $FW             ACCEPT
+loc             all             REJECT          info
+#
+# Policies for traffic originating from the firewall ($FW)
+#
+# If you want open access to the Internet from your firewall, change the
+# $FW to net policy to ACCEPT and remove the 'info' LOG LEVEL.
+# This may be useful if you run a proxy server on the firewall.
+$FW             net             ACCEPT
+$FW             loc             ACCEPT
+$FW             all             ACCEPT
+#
+# Policies for traffic originating from the Internet zone (net)
+#
+net             $FW             DROP            info
+net             loc             DROP            info
+net             all             DROP            info
+# THE FOLLOWING POLICY MUST BE LAST
+all             all             REJECT          info
+#LAST LINE -- ADD YOUR ENTRIES ABOVE THIS LINE -- DO NOT REMOVE
+</file>
+==== /etc/shorewall/rules ====
+<file>
+# AMULE
+ACCEPT net:192.168.1.11 fw tcp 16001
+ACCEPT net fw tcp 12500
+ACCEPT net fw tcp 22 (SSH)
+ACCEPT net fw tcp 21 (FTP)
+ACCEPT net:192.168.1.11/20 fw tcp 137,138,139,389,445 -
+ACCEPT net: 192.168.1.11/20 fw tcp 137138139389445 --
+ACCEPT net:192.168.1.11/20 fw udp 137,138,139,389,445 -
+ACCEPT net: 192.168.1.11/20 fw udp 137138139389445 --
+</file>
+==== /etc/shorewall/routestopped ====
+Permet le routage sur les interfaces défini dans ce fichier lorsque shorewall n'est pas démarré.
+<file>
+#INTERFACE      HOST(S)                  OPTIONS
+eth1            -
+#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE
+</file>
+Par défaut shorewall ne peut pas démarrer tant que vous n'avez pas modifié le fichier /etc/default/shorewall et changé la ligne :
+<file>
+startup=0
+</file>
+par
+<file>
+startup=1
+</file>
+Il faut également s'assurer que l'option STARTUP_ENABLED du fichier de configuration /etc/shorewall/shorewall.conf a la valeur "Yes".
+Vous pouvez maintenant démarrer shorewall :
+<code>
+sudo /etc/init.d/shorewall start
 </code>
+===== Liens =====
+  * http://www.shorewall.net/
+  * http://www.shorewall.net/two-interface_fr.html
+----
+//Contributeurs principaux : [[:utilisateurs:ButterflyOfFire]], FIXME.//