Différences
Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente | ||
shorewall [Le 09/09/2009, 13:32] ChM Ajoute la nécessité de définir à Yes le parametre STARTUP_ENABLED |
shorewall [Le 11/09/2022, 10:35] (Version actuelle) moths-art Suppression des espaces en fin de ligne (détecté et corrigé via le bot wiki-corrector (https://forum.ubuntu-fr.org/viewtopic.php?id=2067892) |
||
---|---|---|---|
Ligne 1: | Ligne 1: | ||
- | {{tag>pare-feu firewall sécurité réseau serveur}} | + | {{tag>pare-feu sécurité réseau serveur}} |
---- | ---- | ||
+ | |||
====== Shorewall ====== | ====== Shorewall ====== | ||
+ | {{:securite:shorewall-logo.png}} | ||
- | ==== Qu'est-ce que Shorewall ? ==== | + | ===== Qu'est-ce que Shorewall ? ===== |
Le pare-feu "Shoreline Firewall", plus communément appelé "Shorewall", est un outil pour configurer plus facilement [[:iptables|Netfilter]]. Shorewall peut être utilisé sur un serveur Linux en routeur/firewall, sur un gateway/routeur/serveur multi-fonction ou sur un système GNU/Linux autonome. | Le pare-feu "Shoreline Firewall", plus communément appelé "Shorewall", est un outil pour configurer plus facilement [[:iptables|Netfilter]]. Shorewall peut être utilisé sur un serveur Linux en routeur/firewall, sur un gateway/routeur/serveur multi-fonction ou sur un système GNU/Linux autonome. | ||
- | Shorewall ne tourne pas en tâche de fond comme daemon. Une fois qu'il a configuré Netfilter, son travail est fini. Il peut être utilisé n'importe quand pour surveiller Netfilter. | + | Shorewall ne tourne pas en tâche de fond comme dæmon. Une fois qu'il a configuré Netfilter, son travail est fini. Il peut être utilisé n'importe quand pour surveiller Netfilter. |
- | Shorewall n'est pas l'outil de configuration de iptables le plus facile mais offre une grande puissance et flexibilité. D'autres alternatives sont plus faciles comme kmyfirewall ou [[:Firestarter]]. | + | Shorewall n'est pas l'outil de configuration de iptables le plus facile mais offre une grande puissance et flexibilité. D'autres alternatives sont plus faciles comme kmyfirewall ou [[:GuFw]]. |
+ | # TYPE OF OPTIONS IN ZONE OUT | ||
+ | # OPTIONS OPTIONS | ||
+ | fw firewall | ||
+ | # LAST LINE - ADD YOUR ENTRIES ABOVE THIS ONE - DO NOT REMOVE | ||
- | ==== Installation ==== | ||
- | <code> | + | # TYPE OF OPTIONS IN ZONE OUT |
- | sudo apt-get install shorewall shorewall-doc | + | # OPTIONS OPTIONS |
- | </code> | + | fw firewall |
+ | # LAST LINE - ADD YOUR ENTRIES ABOVE THIS ONE - DO NOT REMOVE | ||
+ | |||
+ | ~ | ||
+ | ~ | ||
- | Nous allons voir ici la configuration simple pour un serveur équipé de 2 cartes réseaux. | + | ==== /etc/shorewall/interfaces ==== |
- | Nous définirons que l'interface eth0 correspond à la carte réseau reliée à internet et l'interface eth1 correspond à celle reliée au réseau local. | + | |
- | + | ||
- | La configuration de shorewall se fait dans /etc/shorewall mais pour l'instant le dossier ne contient pas tous les fichiers de configuration. Il faut donc copier le contenu de /usr/share/doc/shorewall/examples/two-interfaces dans le dossier /etc/shorewall . | + | |
- | + | ||
- | <code> | + | |
- | sudo cp /usr/share/doc/shorewall-common/examples/two-interfaces/* /etc/shorewall/ | + | |
- | </code> | + | |
- | + | ||
- | Attention, avec Gutsy les examples se trouvent dans /usr/share/doc/shorewall-common/examples. La documentation quant à elle est dans /usr/share/doc/shorewall-doc. | + | |
- | + | ||
- | Ensuite il faut décompresser les fichiers .gz que l'on vient de copier. | + | |
- | <code> | + | |
- | cd /etc/shorewall/ | + | |
- | sudo gzip -d interfaces.gz masq.gz policy.gz rules.gz | + | |
- | </code> | + | |
- | + | ||
- | + | ||
- | ==== Éditer les fichiers de configurations ==== | + | |
- | + | ||
- | == /etc/shorewall/zones == | + | |
- | + | ||
- | Permet de définir les zones que nous allons utiliser dans la configuration de shorewall. | + | |
- | + | ||
- | <code> | + | |
- | #ZONE TYPE OPTIONS IN OUT | + | |
- | # OPTIONS OPTIONS | + | |
- | fw firewall | + | |
- | net ipv4 | + | |
- | loc ipv4 | + | |
- | + | ||
- | #LAST LINE - ADD YOUR ENTRIES ABOVE THIS ONE - DO NOT REMOVE | + | |
- | </code> | + | |
- | + | ||
- | == /etc/shorewall/interfaces == | + | |
Permet de définir à quoi correspondent nos 2 interfaces réseaux eth0 et eth1. | Permet de définir à quoi correspondent nos 2 interfaces réseaux eth0 et eth1. | ||
- | <code> | + | <file> |
#ZONE INTERFACE BROADCAST OPTIONS | #ZONE INTERFACE BROADCAST OPTIONS | ||
net eth0 detect dhcp,tcpflags,routefilter,nosmurfs,logmartians | net eth0 detect dhcp,tcpflags,routefilter,nosmurfs,logmartians | ||
loc eth1 detect dhcp,tcpflags,detectnets,nosmurfs | loc eth1 detect dhcp,tcpflags,detectnets,nosmurfs | ||
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE | #LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE | ||
- | </code> | + | </file> |
- | == /etc/shorewall/policy == | + | ==== /etc/shorewall/policy ==== |
Permet d'accepter ou de rejeter le trafic entre les différentes zones. | Permet d'accepter ou de rejeter le trafic entre les différentes zones. | ||
- | <code> | + | <file> |
# Policies for traffic originating from the local LAN (loc) | # Policies for traffic originating from the local LAN (loc) | ||
# | # | ||
Ligne 101: | Ligne 77: | ||
#LAST LINE -- ADD YOUR ENTRIES ABOVE THIS LINE -- DO NOT REMOVE | #LAST LINE -- ADD YOUR ENTRIES ABOVE THIS LINE -- DO NOT REMOVE | ||
- | </code> | + | </file> |
- | + | ||
- | == /etc/shorewall/rules == | + | |
- | Ceci est le fichier de configuration de la partie firewall. | + | ==== /etc/shorewall/rules ==== |
- | A vous de le configurer selon vos besoins. | + | <file> |
+ | # AMULE | ||
+ | ACCEPT net:192.168.1.11 fw tcp 16001 | ||
+ | ACCEPT net fw tcp 12500 | ||
+ | ACCEPT net fw tcp 22 (SSH) | ||
+ | ACCEPT net fw tcp 21 (FTP) | ||
+ | ACCEPT net:192.168.1.11/20 fw tcp 137,138,139,389,445 - | ||
+ | ACCEPT net: 192.168.1.11/20 fw tcp 137138139389445 -- | ||
+ | ACCEPT net:192.168.1.11/20 fw udp 137,138,139,389,445 - | ||
+ | ACCEPT net: 192.168.1.11/20 fw udp 137138139389445 -- | ||
+ | </file> | ||
- | == /etc/shorewall/routestopped == | + | ==== /etc/shorewall/routestopped ==== |
Permet le routage sur les interfaces défini dans ce fichier lorsque shorewall n'est pas démarré. | Permet le routage sur les interfaces défini dans ce fichier lorsque shorewall n'est pas démarré. | ||
- | <code> | + | <file> |
#INTERFACE HOST(S) OPTIONS | #INTERFACE HOST(S) OPTIONS | ||
eth1 - | eth1 - | ||
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE | #LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE | ||
- | </code> | + | </file> |
- | Par défaut shorewall ne peut pas démarrer tant que vous n'avez pas modifié le fichier /etc/default/shorewall et changé la ligne : | + | Par défaut shorewall ne peut pas démarrer tant que vous n'avez pas modifié le fichier /etc/default/shorewall et changé la ligne : |
- | <code> | + | <file> |
startup=0 | startup=0 | ||
- | </code> | + | </file> |
par | par | ||
- | <code> | + | <file> |
startup=1 | startup=1 | ||
- | </code> | + | </file> |
- | Il faut également s'assurer que l'option STARTUP_ENABLED du fichier de configuratio /etc/shorewall.conf a la valeur "Yes". | + | Il faut également s'assurer que l'option STARTUP_ENABLED du fichier de configuration /etc/shorewall/shorewall.conf a la valeur "Yes". |
- | Vous pouvez maintenant démarrer shorewall : | + | Vous pouvez maintenant démarrer shorewall : |
<code> | <code> | ||
Ligne 140: | Ligne 124: | ||
- | === Liens === | + | ===== Liens ===== |
- | + | ||
- | http://www.shorewall.net/ | + | |
- | http://www.shorewall.net/two-interface_fr.html | + | |
- | + | ||
+ | * http://www.shorewall.net/ | ||
+ | * http://www.shorewall.net/two-interface_fr.html | ||
+ | ---- | ||
+ | //Contributeurs principaux : [[:utilisateurs:ButterflyOfFire]], FIXME.// |