Différences
Ci-dessous, les différences entre deux révisions de la page.
Prochaine révision | Révision précédente | ||
shorewall [Le 13/07/2007, 11:32] placisfos créée |
shorewall [Le 11/09/2022, 10:35] (Version actuelle) moths-art Suppression des espaces en fin de ligne (détecté et corrigé via le bot wiki-corrector (https://forum.ubuntu-fr.org/viewtopic.php?id=2067892) |
||
---|---|---|---|
Ligne 1: | Ligne 1: | ||
- | ===== Shorewall ===== | + | {{tag>pare-feu sécurité réseau serveur}} |
- | Shorewall permet d'utiliser son serveur Linux en routeur/firewall. Nous allons voir ici la configuration pour un serveur équipé de 2 cartes réseaux. | + | ---- |
- | Installation : | + | ====== Shorewall ====== |
+ | |||
+ | {{:securite:shorewall-logo.png}} | ||
+ | |||
+ | ===== Qu'est-ce que Shorewall ? ===== | ||
+ | |||
+ | Le pare-feu "Shoreline Firewall", plus communément appelé "Shorewall", est un outil pour configurer plus facilement [[:iptables|Netfilter]]. Shorewall peut être utilisé sur un serveur Linux en routeur/firewall, sur un gateway/routeur/serveur multi-fonction ou sur un système GNU/Linux autonome. | ||
+ | |||
+ | Shorewall ne tourne pas en tâche de fond comme dæmon. Une fois qu'il a configuré Netfilter, son travail est fini. Il peut être utilisé n'importe quand pour surveiller Netfilter. | ||
+ | |||
+ | Shorewall n'est pas l'outil de configuration de iptables le plus facile mais offre une grande puissance et flexibilité. D'autres alternatives sont plus faciles comme kmyfirewall ou [[:GuFw]]. | ||
+ | |||
+ | |||
+ | # TYPE OF OPTIONS IN ZONE OUT | ||
+ | # OPTIONS OPTIONS | ||
+ | fw firewall | ||
+ | # LAST LINE - ADD YOUR ENTRIES ABOVE THIS ONE - DO NOT REMOVE | ||
+ | |||
+ | |||
+ | |||
+ | # TYPE OF OPTIONS IN ZONE OUT | ||
+ | # OPTIONS OPTIONS | ||
+ | fw firewall | ||
+ | # LAST LINE - ADD YOUR ENTRIES ABOVE THIS ONE - DO NOT REMOVE | ||
+ | |||
+ | ~ | ||
+ | ~ | ||
+ | |||
+ | ==== /etc/shorewall/interfaces ==== | ||
+ | |||
+ | Permet de définir à quoi correspondent nos 2 interfaces réseaux eth0 et eth1. | ||
+ | |||
+ | <file> | ||
+ | #ZONE INTERFACE BROADCAST OPTIONS | ||
+ | net eth0 detect dhcp,tcpflags,routefilter,nosmurfs,logmartians | ||
+ | loc eth1 detect dhcp,tcpflags,detectnets,nosmurfs | ||
+ | #LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE | ||
+ | </file> | ||
+ | |||
+ | |||
+ | ==== /etc/shorewall/policy ==== | ||
+ | |||
+ | Permet d'accepter ou de rejeter le trafic entre les différentes zones. | ||
+ | |||
+ | <file> | ||
+ | # Policies for traffic originating from the local LAN (loc) | ||
+ | # | ||
+ | # If you want to force clients to access the Internet via a proxy server | ||
+ | # on your firewall, change the loc to net policy to REJECT info. | ||
+ | loc net ACCEPT | ||
+ | loc $FW ACCEPT | ||
+ | loc all REJECT info | ||
+ | |||
+ | # | ||
+ | # Policies for traffic originating from the firewall ($FW) | ||
+ | # | ||
+ | # If you want open access to the Internet from your firewall, change the | ||
+ | # $FW to net policy to ACCEPT and remove the 'info' LOG LEVEL. | ||
+ | # This may be useful if you run a proxy server on the firewall. | ||
+ | $FW net ACCEPT | ||
+ | $FW loc ACCEPT | ||
+ | $FW all ACCEPT | ||
+ | |||
+ | # | ||
+ | # Policies for traffic originating from the Internet zone (net) | ||
+ | # | ||
+ | net $FW DROP info | ||
+ | net loc DROP info | ||
+ | net all DROP info | ||
+ | |||
+ | # THE FOLLOWING POLICY MUST BE LAST | ||
+ | all all REJECT info | ||
+ | |||
+ | #LAST LINE -- ADD YOUR ENTRIES ABOVE THIS LINE -- DO NOT REMOVE | ||
+ | </file> | ||
+ | |||
+ | ==== /etc/shorewall/rules ==== | ||
+ | |||
+ | <file> | ||
+ | # AMULE | ||
+ | ACCEPT net:192.168.1.11 fw tcp 16001 | ||
+ | ACCEPT net fw tcp 12500 | ||
+ | ACCEPT net fw tcp 22 (SSH) | ||
+ | ACCEPT net fw tcp 21 (FTP) | ||
+ | ACCEPT net:192.168.1.11/20 fw tcp 137,138,139,389,445 - | ||
+ | ACCEPT net: 192.168.1.11/20 fw tcp 137138139389445 -- | ||
+ | ACCEPT net:192.168.1.11/20 fw udp 137,138,139,389,445 - | ||
+ | ACCEPT net: 192.168.1.11/20 fw udp 137138139389445 -- | ||
+ | </file> | ||
+ | |||
+ | ==== /etc/shorewall/routestopped ==== | ||
+ | |||
+ | Permet le routage sur les interfaces défini dans ce fichier lorsque shorewall n'est pas démarré. | ||
+ | |||
+ | <file> | ||
+ | #INTERFACE HOST(S) OPTIONS | ||
+ | eth1 - | ||
+ | #LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE | ||
+ | </file> | ||
+ | |||
+ | Par défaut shorewall ne peut pas démarrer tant que vous n'avez pas modifié le fichier /etc/default/shorewall et changé la ligne : | ||
+ | |||
+ | <file> | ||
+ | startup=0 | ||
+ | </file> | ||
+ | |||
+ | par | ||
+ | |||
+ | <file> | ||
+ | startup=1 | ||
+ | </file> | ||
+ | |||
+ | Il faut également s'assurer que l'option STARTUP_ENABLED du fichier de configuration /etc/shorewall/shorewall.conf a la valeur "Yes". | ||
+ | |||
+ | Vous pouvez maintenant démarrer shorewall : | ||
<code> | <code> | ||
- | sudo apt-get install shorewall | + | sudo /etc/init.d/shorewall start |
</code> | </code> | ||
- | La configuration de shorewall se fait dans /etc/shorewall mais pour l'instant le dossier est vide. Il faut aller dans le dossier /usr/share/doc/shorewall/examples/two-interfaces et copier le contenu dans /etc/shorewall . | + | |
+ | ===== Liens ===== | ||
+ | |||
+ | * http://www.shorewall.net/ | ||
+ | * http://www.shorewall.net/two-interface_fr.html | ||
+ | |||
+ | ---- | ||
+ | |||
+ | //Contributeurs principaux : [[:utilisateurs:ButterflyOfFire]], FIXME.// |