mirror of
https://gitlab.com/shorewall/code.git
synced 2024-12-15 10:51:02 +01:00
New files added in 1.3.14
git-svn-id: https://shorewall.svn.sourceforge.net/svnroot/shorewall/trunk@441 fbd18981-670d-0410-9b5c-8dc0c1a9a2bb
This commit is contained in:
parent
ed61406441
commit
b0e5d0b131
281
STABLE/documentation/OPENVPN.html
Executable file
281
STABLE/documentation/OPENVPN.html
Executable file
@ -0,0 +1,281 @@
|
||||
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
|
||||
<html>
|
||||
<head>
|
||||
|
||||
<meta http-equiv="Content-Type"
|
||||
content="text/html; charset=windows-1252">
|
||||
<title>GRE/IPIP Tunnels</title>
|
||||
|
||||
<meta name="GENERATOR" content="Microsoft FrontPage 5.0">
|
||||
|
||||
<meta name="ProgId" content="FrontPage.Editor.Document">
|
||||
</head>
|
||||
<body>
|
||||
|
||||
<table border="0" cellpadding="0" cellspacing="0"
|
||||
style="border-collapse: collapse;" bordercolor="#111111" width="100%"
|
||||
id="AutoNumber1" bgcolor="#400169" height="90">
|
||||
<tbody>
|
||||
<tr>
|
||||
<td width="100%">
|
||||
<h1 align="center"><font color="#ffffff">OpenVPN Tunnels</font></h1>
|
||||
</td>
|
||||
</tr>
|
||||
|
||||
</tbody>
|
||||
</table>
|
||||
|
||||
<h3><br>
|
||||
</h3>
|
||||
|
||||
<p>OpenVPN is a robust and highly configurable VPN (Virtual Private Network)
|
||||
daemon which can be used to securely link two or more private networks using
|
||||
an encrypted tunnel over the internet. OpenVPN is an Open Source project and
|
||||
is <a href="http://openvpn.sourceforge.net/license.html">licensed under the
|
||||
GPL</a>. OpenVPN can be downloaded from <a
|
||||
href="http://openvpn.sourceforge.net/">http://openvpn.sourceforge.net/</a>.<br>
|
||||
</p>
|
||||
|
||||
<p>OpenVPN support was added to Shorewall in version 1.3.14.<br>
|
||||
</p>
|
||||
|
||||
<h2>Bridging two Masqueraded Networks</h2>
|
||||
|
||||
<p>Suppose that we have the following situation:</p>
|
||||
|
||||
<p align="center"><img border="0" src="images/TwoNets1.png" width="745"
|
||||
height="427">
|
||||
</p>
|
||||
|
||||
<p align="left">We want systems in the 192.168.1.0/24 subnetwork to be able
|
||||
to communicate with the systems in the 10.0.0.0/8 network. This is accomplished
|
||||
through use of the /etc/shorewall/tunnels file and the /etc/shorewall/policy
|
||||
file and OpenVPN.</p>
|
||||
|
||||
<p align="left">While it was possible to use the Shorewall start and stop
|
||||
script to start and stop OpenVPN, I decided to use the init script of OpenVPN
|
||||
to start and stop it.</p>
|
||||
|
||||
<p align="left">On each firewall, you will need to declare a zone to represent
|
||||
the remote subnet. We'll assume that this zone is called 'vpn' and declare
|
||||
it in /etc/shorewall/zones on both systems as follows.</p>
|
||||
|
||||
<blockquote>
|
||||
<table border="2" cellpadding="2" style="border-collapse: collapse;">
|
||||
<tbody>
|
||||
<tr>
|
||||
<td><strong>ZONE</strong></td>
|
||||
<td><strong>DISPLAY</strong></td>
|
||||
<td><strong>COMMENTS</strong></td>
|
||||
</tr>
|
||||
<tr>
|
||||
<td>vpn</td>
|
||||
<td>VPN</td>
|
||||
<td>Remote Subnet</td>
|
||||
</tr>
|
||||
|
||||
</tbody>
|
||||
</table>
|
||||
</blockquote>
|
||||
|
||||
<p align="left">On system A, the 10.0.0.0/8 will comprise the <b>vpn</b> zone.
|
||||
In /etc/shorewall/interfaces:</p>
|
||||
|
||||
<blockquote>
|
||||
<table border="2" cellpadding="2" style="border-collapse: collapse;">
|
||||
<tbody>
|
||||
<tr>
|
||||
<td><b>ZONE</b></td>
|
||||
<td><b>INTERFACE</b></td>
|
||||
<td><b>BROADCAST</b></td>
|
||||
<td><b>OPTIONS</b></td>
|
||||
</tr>
|
||||
<tr>
|
||||
<td>vpn</td>
|
||||
<td>tun0</td>
|
||||
<td><br>
|
||||
</td>
|
||||
<td> </td>
|
||||
</tr>
|
||||
|
||||
</tbody>
|
||||
</table>
|
||||
</blockquote>
|
||||
|
||||
<p align="left">In /etc/shorewall/tunnels on system A, we need the following:</p>
|
||||
|
||||
<blockquote>
|
||||
<table border="2" cellpadding="2" style="border-collapse: collapse;">
|
||||
<tbody>
|
||||
<tr>
|
||||
<td><b>TYPE</b></td>
|
||||
<td><b>ZONE</b></td>
|
||||
<td><b>GATEWAY</b></td>
|
||||
<td><b>GATEWAY ZONE</b></td>
|
||||
</tr>
|
||||
<tr>
|
||||
<td>openvpn</td>
|
||||
<td>net</td>
|
||||
<td>134.28.54.2</td>
|
||||
<td> </td>
|
||||
</tr>
|
||||
|
||||
</tbody>
|
||||
</table>
|
||||
</blockquote>
|
||||
|
||||
<p>This entry in /etc/shorewall/tunnels opens the firewall so that OpenVPN
|
||||
traffic on the default port 5000/udp will be accepted to/from the remote gateway.
|
||||
If you change the port used by OpenVPN to 7777, you can define /etc/shorewall/tunnels
|
||||
like this:<br>
|
||||
</p>
|
||||
|
||||
<blockquote>
|
||||
<table border="2" cellpadding="2" style="border-collapse: collapse;">
|
||||
<tbody>
|
||||
<tr>
|
||||
<td><b>TYPE</b></td>
|
||||
<td><b>ZONE</b></td>
|
||||
<td><b>GATEWAY</b></td>
|
||||
<td><b>GATEWAY ZONE</b></td>
|
||||
</tr>
|
||||
<tr>
|
||||
<td>openvpn:7777</td>
|
||||
<td>net</td>
|
||||
<td>134.28.54.2</td>
|
||||
<td> </td>
|
||||
</tr>
|
||||
|
||||
</tbody>
|
||||
</table>
|
||||
</blockquote>
|
||||
|
||||
<p>This is the OpenVPN config on system A:</p>
|
||||
|
||||
<blockquote>
|
||||
<p></p>
|
||||
</blockquote>
|
||||
|
||||
<blockquote>
|
||||
<p>dev tun<br>
|
||||
local 206.162.148.9<br>
|
||||
remote 134.28.54.2<br>
|
||||
ifconfig 192.168.99.1 192.168.99.2<br>
|
||||
up ./route-a.up<br>
|
||||
tls-server<br>
|
||||
dh dh1024.pem<br>
|
||||
ca ca.crt<br>
|
||||
cert my-a.crt<br>
|
||||
key my-a.key<br>
|
||||
comp-lzo<br>
|
||||
verb 5<br>
|
||||
</p>
|
||||
</blockquote>
|
||||
|
||||
<p>Similarly, On system B the 192.168.1.0/24 subnet will comprise the <b>vpn</b>
|
||||
zone. In /etc/shorewall/interfaces:</p>
|
||||
|
||||
<blockquote>
|
||||
<table border="2" cellpadding="2" style="border-collapse: collapse;">
|
||||
<tbody>
|
||||
<tr>
|
||||
<td><b>ZONE</b></td>
|
||||
<td><b>INTERFACE</b></td>
|
||||
<td><b>BROADCAST</b></td>
|
||||
<td><b>OPTIONS</b></td>
|
||||
</tr>
|
||||
<tr>
|
||||
<td>vpn</td>
|
||||
<td>tun0</td>
|
||||
<td>192.168.1.255</td>
|
||||
<td> </td>
|
||||
</tr>
|
||||
|
||||
</tbody>
|
||||
</table>
|
||||
</blockquote>
|
||||
|
||||
<p>In /etc/shorewall/tunnels on system B, we have:</p>
|
||||
|
||||
<blockquote>
|
||||
<table border="2" cellpadding="2" style="border-collapse: collapse;">
|
||||
<tbody>
|
||||
<tr>
|
||||
<td><b>TYPE</b></td>
|
||||
<td><b>ZONE</b></td>
|
||||
<td><b>GATEWAY</b></td>
|
||||
<td><b>GATEWAY ZONE</b></td>
|
||||
</tr>
|
||||
<tr>
|
||||
<td>openvpn</td>
|
||||
<td>net</td>
|
||||
<td>206.191.148.9</td>
|
||||
<td> </td>
|
||||
</tr>
|
||||
|
||||
</tbody>
|
||||
</table>
|
||||
</blockquote>
|
||||
|
||||
<p>And in the OpenVPN config on system B:</p>
|
||||
|
||||
<blockquote>
|
||||
<p>dev tun<br>
|
||||
local 134.28.54.2<br>
|
||||
remote 206.162.148.9<br>
|
||||
ifconfig 192.168.99.2 192.168.99.1<br>
|
||||
up ./route-b.up<br>
|
||||
tls-client<br>
|
||||
ca ca.crt<br>
|
||||
cert my-b.crt<br>
|
||||
key my-b.key<br>
|
||||
comp-lzo<br>
|
||||
verb 5<br>
|
||||
</p>
|
||||
</blockquote>
|
||||
|
||||
<p align="left">You will need to allow traffic between the "vpn" zone and
|
||||
the "loc" zone on both systems -- if you simply want to admit all traffic
|
||||
in both directions, you can use the policy file:</p>
|
||||
|
||||
<blockquote>
|
||||
<table border="2" cellpadding="2" style="border-collapse: collapse;">
|
||||
<tbody>
|
||||
<tr>
|
||||
<td><strong>SOURCE</strong></td>
|
||||
<td><strong>DEST</strong></td>
|
||||
<td><strong>POLICY</strong></td>
|
||||
<td><strong>LOG LEVEL</strong></td>
|
||||
</tr>
|
||||
<tr>
|
||||
<td>loc</td>
|
||||
<td>vpn</td>
|
||||
<td>ACCEPT</td>
|
||||
<td> </td>
|
||||
</tr>
|
||||
<tr>
|
||||
<td>vpn</td>
|
||||
<td>loc</td>
|
||||
<td>ACCEPT</td>
|
||||
<td> </td>
|
||||
</tr>
|
||||
|
||||
</tbody>
|
||||
</table>
|
||||
</blockquote>
|
||||
|
||||
<p>On both systems, restart Shorewall and start OpenVPN. The systems in the
|
||||
two masqueraded subnetworks can now talk to each other.</p>
|
||||
|
||||
<p><font size="2">Updated 2/4/2003 - <a href="support.htm">Tom Eastep</a></font>
|
||||
<small>and Simon Mater</small><br>
|
||||
</p>
|
||||
<p><font size="2"> </font></p>
|
||||
|
||||
<p><font face="Trebuchet MS"><a href="copyright.htm"><font size="2">Copyright</font>
|
||||
© <font size="2">2003 Thomas M. Eastep. and Simon Mater<br>
|
||||
</font></a></font></p>
|
||||
<br>
|
||||
<br>
|
||||
</body>
|
||||
</html>
|
BIN
STABLE/documentation/images/ninjalogo.png
Executable file
BIN
STABLE/documentation/images/ninjalogo.png
Executable file
Binary file not shown.
407
STABLE/documentation/standalone_fr.html
Executable file
407
STABLE/documentation/standalone_fr.html
Executable file
@ -0,0 +1,407 @@
|
||||
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
|
||||
<html>
|
||||
<head>
|
||||
<meta http-equiv="Content-Language" content="en-us">
|
||||
<meta name="GENERATOR" content="Microsoft FrontPage 5.0">
|
||||
<meta name="ProgId" content="FrontPage.Editor.Document">
|
||||
<meta http-equiv="Content-Type"
|
||||
content="text/html; charset=windows-1252">
|
||||
<title>Standalone Firewall</title>
|
||||
</head>
|
||||
<body>
|
||||
<table border="0" cellpadding="0" cellspacing="0"
|
||||
style="border-collapse: collapse;" bordercolor="#111111" width="100%"
|
||||
id="AutoNumber6" bgcolor="#400169" height="90">
|
||||
<tbody>
|
||||
<tr>
|
||||
<td width="100%">
|
||||
<h1 align="center"><font color="#ffffff">Standalone Firewall</font></h1>
|
||||
</td>
|
||||
</tr>
|
||||
</tbody>
|
||||
</table>
|
||||
<h2 align="center">Version 2.0.1 Française</h2>
|
||||
<p align="left"><small><i><u>Notes du traducteur</u> :<br>
|
||||
Je ne prétends pas être un vrai traducteur dans le sens ou mon travail
|
||||
n'est pas des plus précis (loin de là...). Je ne me suis pas attaché à
|
||||
une traduction exacte du texte, mais plutôt à en faire une version
|
||||
française intelligible par tous (et par moi). Les termes techniques sont
|
||||
la plupart du temps conservés sous leur forme originale et mis entre
|
||||
parenthèses car vous pouvez les retrouver dans le reste des
|
||||
documentations ainsi que dans les fichiers de configuration. N?hésitez
|
||||
pas à me contacter afin d?améliorer ce document <a
|
||||
href="mailto:vetsel.patrice@wanadoo.fr">VETSEL Patrice</a> (merci à JMM
|
||||
pour sa relecture et ses commentaires pertinents, ainsi qu'à Tom EASTEP
|
||||
pour son formidable outil et sa disponibilité)</i><i>.</i></small></p>
|
||||
<p align="left">Mettre en place un système Linux en tant que firewall
|
||||
(écluse) pour un petit réseau est une chose assez simple, si vous
|
||||
comprenez les bases et suivez la documentation.</p>
|
||||
<p>Ce guide ne veut pas vous apprendre tous les rouages de Shorewall.
|
||||
Il se focalise sur ce qui est nécessaire pour configurer Shorewall, dans
|
||||
son utilisation la plus courante :</p>
|
||||
<ul>
|
||||
<li>Un système Linux</li>
|
||||
<li>Une seule adresse IP externe</li>
|
||||
<li>Une connexion passant par un modem câble, ADSL, ISDN, Frame
|
||||
Relay, rtc...</li>
|
||||
</ul>
|
||||
<p>Ce guide suppose que vous avez le paquet iproute/iproute2
|
||||
d'installé. Vous pouvez voir si le paquet est installé en vérifiant la
|
||||
présence du programme ip sur votre système de firewall. Sous root,
|
||||
utilisez la commande 'which' pour rechercher le programme :</p>
|
||||
<pre> [root@gateway root]# which ip<br> /sbin/ip<br> [root@gateway root]#</pre>
|
||||
<p>Je vous recommande dans un premier temps de parcourir tout le guide
|
||||
pour vous familiariser avec ce qu'il va se passer, et de revenir au
|
||||
début en effectuant le changements dans votre configuration. Les points,
|
||||
où les changements dans la configuration sont recommandées, sont
|
||||
signalés par une <img border="0" src="images/BD21298_.gif" width="13"
|
||||
height="13"> .</p>
|
||||
<p><img border="0" src="images/j0213519.gif" width="60" height="60"> Si
|
||||
vous éditez vos fichiers de configuration sur un système Windows, vous
|
||||
devez les sauver comme des fichiers Unix si votre éditeur supporte cette
|
||||
option sinon vous devez les faire passer par dos2unix avant d'essayer de
|
||||
les utiliser. De la même manière, si vous copiez un fichier de
|
||||
configuration depuis votre disque dur Windows vers une disquette, vous
|
||||
devez lancer dos2unix sur la copie avant de l'utiliser avec Shorewall.</p>
|
||||
<ul>
|
||||
<li><a href="http://www.simtel.net/pub/pd/51438.html">Windows Version
|
||||
of dos2unix</a></li>
|
||||
<li><a href="http://www.megaloman.com/%7Ehany/software/hd2u/">Linux
|
||||
Version of dos2unix</a></li>
|
||||
</ul>
|
||||
<h2 align="left">Les Concepts de Shorewall</h2>
|
||||
<p> <img border="0" src="images/BD21298_.gif" width="13" height="13"
|
||||
alt=""> Les fichiers de configuration pour Shorewall sont situés dans
|
||||
le répertoire /etc/shorewall -- pour de simples paramétrages, vous
|
||||
n'avez à faire qu'avec quelques un d'entre eux comme décris dans ce
|
||||
guide. Après avoir <a href="Install.htm">installé Shorewall</a>, <b>téléchargez
|
||||
le <a href="/pub/shorewall/LATEST.samples/one-interface.tgz">one-interface
|
||||
sample</a>, un-tarez le (tar -zxvf one-interface.tgz) et copiez les
|
||||
fichiers vers /etc/shorewall (Ils remplaceront les fichiers de même nom
|
||||
déjà existant dans /etc/shorewall installés lors de l'installation de
|
||||
Shorewall)</b>.</p>
|
||||
<p>Parallèlement à la description, je vous suggère de jeter un oeil à
|
||||
ceux physiquement présents sur votre système -- chacun des fichiers
|
||||
contient des instructions de configuration détaillées et des entrées par
|
||||
défaut.</p>
|
||||
<p>Shorewall voit le réseau où il tourne comme composé par un ensemble
|
||||
de <i>zones.</i> Dans les fichiers de configuration fournis pour une
|
||||
unique interface, une seule zone est définie :</p>
|
||||
<table border="0" style="border-collapse: collapse;" cellpadding="3"
|
||||
cellspacing="0" id="AutoNumber2">
|
||||
<tbody>
|
||||
<tr>
|
||||
<td><u><b>Name</b></u></td>
|
||||
<td><u><b>Description</b></u></td>
|
||||
</tr>
|
||||
<tr>
|
||||
<td><b>net</b></td>
|
||||
<td><b>The Internet</b></td>
|
||||
</tr>
|
||||
</tbody>
|
||||
</table>
|
||||
<p>Les zones de Shorewall sont définies dans <a
|
||||
href="Documentation.htm#Zones"> /etc/shorewall/zones</a>.</p>
|
||||
<p>Shorewall reconnaît aussi le système de firewall comme sa propre
|
||||
zone - par défaut, le firewall lui-même est connu en tant que <b>fw</b>.</p>
|
||||
<p>Les règles concernant le trafic à autoriser ou à interdire sont
|
||||
exprimées en utilisant les termes de zones.</p>
|
||||
<ul>
|
||||
<li>Vous exprimez les politiques par défaut pour les connexions d'une
|
||||
zone à une autre dans le fichier<a href="Documentation.htm#Policy">
|
||||
/etc/shorewall/policy </a>.</li>
|
||||
<li>Vous définissez les exceptions à ces règles de politiques par
|
||||
défaut dans le fichier <a href="Documentation.htm#Rules">/etc/shorewall/rules</a>.</li>
|
||||
</ul>
|
||||
<p>Pour chacune des demandes de connexion entrantes dans le firewall,
|
||||
les demandes sont en premier lieu comparées par rapport au fichier
|
||||
/etc/shorewall/rules. Si aucune des règles dans ce fichier ne
|
||||
correspondent, alors la première politique dans /etc/shorewall/policy
|
||||
qui y correspond est appliquée. Si cette politique est REJECT ou DROP la
|
||||
requête est alors comparée par rapport aux règles contenues dans
|
||||
/etc/shorewall/common (l'archive d'exemple vous fournit ce fichier).</p>
|
||||
<p>Le fichier /etc/shorewall/policy d'exemple contenu dans l'archive
|
||||
one-interface a les politiques suivantes :</p>
|
||||
<blockquote>
|
||||
<table border="1" cellpadding="2" style="border-collapse: collapse;"
|
||||
id="AutoNumber3">
|
||||
<tbody>
|
||||
<tr>
|
||||
<td><u><b>SOURCE ZONE</b></u></td>
|
||||
<td><u><b>DESTINATION ZONE</b></u></td>
|
||||
<td><u><b>POLICY</b></u></td>
|
||||
<td><u><b>LOG LEVEL</b></u></td>
|
||||
<td><u><b>LIMIT:BURST</b></u></td>
|
||||
</tr>
|
||||
<tr>
|
||||
<td>fw</td>
|
||||
<td>net</td>
|
||||
<td>ACCEPT</td>
|
||||
<td> <br>
|
||||
</td>
|
||||
<td> <br>
|
||||
</td>
|
||||
</tr>
|
||||
<tr>
|
||||
<td>net</td>
|
||||
<td>all<br>
|
||||
</td>
|
||||
<td>DROP</td>
|
||||
<td>info</td>
|
||||
<td> <br>
|
||||
</td>
|
||||
</tr>
|
||||
<tr>
|
||||
<td>all</td>
|
||||
<td>all</td>
|
||||
<td>REJECT</td>
|
||||
<td>info</td>
|
||||
<td> <br>
|
||||
</td>
|
||||
</tr>
|
||||
</tbody>
|
||||
</table>
|
||||
</blockquote>
|
||||
<pre> </pre>
|
||||
Ces politiques vont :
|
||||
<ol>
|
||||
<li>permettre toutes demandes de connexion depuis le firewall vers
|
||||
l'Internet</li>
|
||||
<li>drop (ignorer) toutes les demandes de connexion depuis l'Internet
|
||||
vers votre firewall</li>
|
||||
<li>rejeter toutes les autres requêtes de connexion (Shorewall à
|
||||
besoin de cette politique).</li>
|
||||
</ol>
|
||||
<p>A ce point, éditez votre /etc/shorewall/policy et faites y les
|
||||
changements que vous désirez.</p>
|
||||
<h2 align="left">Interface Externe</h2>
|
||||
<p align="left">Le firewall possède une seule interface réseau. Lorsque
|
||||
la connexion Internet passe par un modem câble ou par un routeur ADSL
|
||||
(pas un simple modem), l'<i>External Interface</i> (interface externe)
|
||||
sera l'adaptateur ethernet (<b>eth0</b>) qui y est connecté <u>à moins
|
||||
que</u> vous vous connectiez par <i><u>P</u>oint-to-<u>P</u>oint <u>P</u>rotocol
|
||||
over <u>E</u>thernet</i> (PPPoE) ou <i><u>P</u>oint-to-<u>P</u>oint <u>T</u>unneling<u>P</u>rotocol</i>(PPTP)
|
||||
dans ce cas l'interface externe sera <b>ppp0</b>. Si vous vous
|
||||
connectez par un simple modem (RTC), votre interface externe sera aussi <b>ppp0</b>.
|
||||
Si vous vous connectez en utilisant l'ISDN (numéris), votre interface
|
||||
externe sera<b> ippp0.</b></p>
|
||||
<p align="left"><img border="0" src="images/BD21298_3.gif" width="13"
|
||||
height="13"> L'exemple de configuration de Shorewall pour une interface
|
||||
suppose que votre interface externe est <b>eth0</b>. Si votre
|
||||
configuration est différente, vous devrez modifier le fichier d'exemple
|
||||
/etc/shorewall/interfaces en conséquence. Puisque vous y êtes, vous
|
||||
pourriez parcourir la liste d'options qui sont spécifiées pour
|
||||
l'interface. Quelques astuces :</p>
|
||||
<ul>
|
||||
<li>
|
||||
<p align="left">Si votre interface externe est <b>ppp0</b> ou <b>ippp0</b>,
|
||||
vous pouvez remplacer le "detect" dans la seconde colonne par un
|
||||
"-". </p>
|
||||
</li>
|
||||
<li>
|
||||
<p align="left"> Si votre interface externe est <b>ppp0</b> ou <b>ippp0</b>
|
||||
ou bien si vous avez une adresse IP statique, vous pouvez enlever le
|
||||
"dhcp" de la liste d'option. </p>
|
||||
</li>
|
||||
</ul>
|
||||
<div align="left">
|
||||
<h2 align="left">Adresse IP</h2>
|
||||
</div>
|
||||
<div align="left">
|
||||
<p align="left">La RFC 1918 définie plusieurs plage d'adresses IP
|
||||
privée (<i>Private</i>IP) pour l'utilisation dans des réseaux privés :</p>
|
||||
<div align="left">
|
||||
<pre> 10.0.0.0 - 10.255.255.255<br> 172.16.0.0 - 172.31.255.255<br> 192.168.0.0 - 192.168.255.255</pre>
|
||||
</div>
|
||||
<p align="left">Ces adresses sont parfois désignées comme étant <i>non-routables</i>
|
||||
car les routeurs sur les backbones Internet ne font pas passer les
|
||||
paquets dont les adresses de destinations sont définies dans la RFC
|
||||
1918. Dans certains cas, les fournisseurs (provider ou ISP) utilisent
|
||||
ces adresses et utilisent le <i>Network Address Translation </i>afin
|
||||
de récrire les entêtes des paquets lorsqu'ils les font circuler depuis
|
||||
ou vers l'Internet.</p>
|
||||
<p align="left"><img border="0" src="images/BD21298_.gif" align="left"
|
||||
width="13" height="13"> Avant de lancer Shorewall, vous devriez
|
||||
regarder l'adresse de votre interface externe et si elle est comprise
|
||||
dans une des plages précédentes, vous devriez enlever l'option
|
||||
'norfc1918' dans le fichier /etc/shorewall/interfaces.</p>
|
||||
</div>
|
||||
<div align="left">
|
||||
<h2 align="left">Permettre d'autres connexions</h2>
|
||||
</div>
|
||||
<div align="left">
|
||||
<p align="left">Si vous désirez autoriser d'autres connexions depuis
|
||||
l'Internet vers votre firewall, le format général est :</p>
|
||||
</div>
|
||||
<div align="left">
|
||||
<blockquote>
|
||||
<table border="1" cellpadding="2" style="border-collapse: collapse;"
|
||||
id="AutoNumber4">
|
||||
<tbody>
|
||||
<tr>
|
||||
<td><u><b>ACTION</b></u></td>
|
||||
<td><u><b>SOURCE</b></u></td>
|
||||
<td><u><b>DESTINATION</b></u></td>
|
||||
<td><u><b>PROTOCOL</b></u></td>
|
||||
<td><u><b>PORT</b></u></td>
|
||||
<td><u><b>SOURCE PORT</b></u></td>
|
||||
<td><u><b>ORIGINAL ADDRESS</b></u></td>
|
||||
</tr>
|
||||
<tr>
|
||||
<td>ACCEPT</td>
|
||||
<td>net</td>
|
||||
<td>fw</td>
|
||||
<td><i><protocol></i></td>
|
||||
<td><i><port></i></td>
|
||||
<td> <br>
|
||||
</td>
|
||||
<td> <br>
|
||||
</td>
|
||||
</tr>
|
||||
</tbody>
|
||||
</table>
|
||||
</blockquote>
|
||||
</div>
|
||||
<div align="left">
|
||||
<p align="left">Exemple - Vous voulez faire tourner un serveur Web et
|
||||
un serveur POP3 sur votre système de firewall :</p>
|
||||
</div>
|
||||
<div align="left">
|
||||
<blockquote>
|
||||
<table border="1" cellpadding="2" style="border-collapse: collapse;"
|
||||
id="AutoNumber5">
|
||||
<tbody>
|
||||
<tr>
|
||||
<td><u><b>ACTION</b></u></td>
|
||||
<td><u><b>SOURCE</b></u></td>
|
||||
<td><u><b>DESTINATION</b></u></td>
|
||||
<td><u><b>PROTOCOL</b></u></td>
|
||||
<td><u><b>PORT</b></u></td>
|
||||
<td><u><b>SOURCE PORT</b></u></td>
|
||||
<td><u><b>ORIGINAL ADDRESS</b></u></td>
|
||||
</tr>
|
||||
<tr>
|
||||
<td>ACCEPT</td>
|
||||
<td>net</td>
|
||||
<td>fw</td>
|
||||
<td>tcp</td>
|
||||
<td>80</td>
|
||||
<td> <br>
|
||||
</td>
|
||||
<td> <br>
|
||||
</td>
|
||||
</tr>
|
||||
<tr>
|
||||
<td>ACCEPT</td>
|
||||
<td>net</td>
|
||||
<td>fw</td>
|
||||
<td>tcp</td>
|
||||
<td>110</td>
|
||||
<td> <br>
|
||||
</td>
|
||||
<td> <br>
|
||||
</td>
|
||||
</tr>
|
||||
</tbody>
|
||||
</table>
|
||||
</blockquote>
|
||||
</div>
|
||||
<div align="left">
|
||||
<p align="left">Si vous ne savez pas quel port ou protocole une
|
||||
application particulière utilise, regardez <a href="ports.htm">ici</a>.</p>
|
||||
</div>
|
||||
<div align="left">
|
||||
<p align="left"><b>Important: </b>Je ne vous recommande pas
|
||||
d'autoriser le telnet depuis ou vers l'Internet car il utilise du texte
|
||||
en clair (même pour le login et le mot de passe !). Si vous voulez avoir
|
||||
un accès au shell de votre firewall depuis Internet, utilisez SSH :</p>
|
||||
</div>
|
||||
<div align="left">
|
||||
<blockquote>
|
||||
<table border="1" cellpadding="2" style="border-collapse: collapse;"
|
||||
id="AutoNumber4">
|
||||
<tbody>
|
||||
<tr>
|
||||
<td><u><b>ACTION</b></u></td>
|
||||
<td><u><b>SOURCE</b></u></td>
|
||||
<td><u><b>DESTINATION</b></u></td>
|
||||
<td><u><b>PROTOCOL</b></u></td>
|
||||
<td><u><b>PORT</b></u></td>
|
||||
<td><u><b>SOURCE PORT</b></u></td>
|
||||
<td><u><b>ORIGINAL ADDRESS</b></u></td>
|
||||
</tr>
|
||||
<tr>
|
||||
<td>ACCEPT</td>
|
||||
<td>net</td>
|
||||
<td>fw</td>
|
||||
<td>tcp</td>
|
||||
<td>22</td>
|
||||
<td> <br>
|
||||
</td>
|
||||
<td> <br>
|
||||
</td>
|
||||
</tr>
|
||||
</tbody>
|
||||
</table>
|
||||
</blockquote>
|
||||
</div>
|
||||
<div align="left">
|
||||
<pre> ACCEPT net fw tcp 22</pre>
|
||||
</div>
|
||||
<div align="left">
|
||||
<p align="left"><img border="0" src="images/BD21298_3.gif" width="13"
|
||||
height="13"> A ce point, éditez /etc/shorewall/rules pour rajouter
|
||||
les autres connexions désirées.</p>
|
||||
</div>
|
||||
<div align="left">
|
||||
<h2 align="left">Lancer et Arrêter son Firewall</h2>
|
||||
</div>
|
||||
<div align="left">
|
||||
<p align="left"> <img border="0" src="images/BD21298_2.gif" width="13"
|
||||
height="13" alt="Arrow"> La <a href="Install.htm">procédure
|
||||
d'installation </a> configure votre système pour lancer Shorewall au
|
||||
boot du système, mais au début avec la version 1.3.9 de Shorewall le
|
||||
lancement est désactivé, n'essayer pas de lancer Shorewall avec que la
|
||||
configuration soit finie. Une fois que vous en aurez fini avec la
|
||||
configuration du firewall, vous pouvez permettre le lancement de
|
||||
Shorewall en supprimant le fichier /etc/shorewall/startup_disabled.<br>
|
||||
</p>
|
||||
<p align="left"><font color="#ff0000"><b>IMPORTANT</b>: Les
|
||||
utilisateurs des paquets .deb doivent éditer /etc/default/shorewall et
|
||||
mettre 'startup=1'.</font><br>
|
||||
</p>
|
||||
</div>
|
||||
<div align="left">
|
||||
<p align="left">Le firewall est activé en utilisant la commande
|
||||
"shorewall start" et arrêté avec "shorewall stop". Lorsque le firewall
|
||||
est stoppé, le routage est autorisé sur les hôtes qui possèdent une
|
||||
entrée dans <a href="Documentation.htm#Routestopped">/etc/shorewall/routestopped</a>.
|
||||
Un firewall qui tourne peut être relancé en utilisant la commande
|
||||
"shorewall restart". Si vous voulez enlever toutes traces de Shorewall
|
||||
sur votre configuration de Netfilter, utilisez "shorewall clear".</p>
|
||||
</div>
|
||||
<div align="left">
|
||||
<p align="left"><b>ATTENTION: </b>Si vous êtes connecté à votre
|
||||
firewall depuis Internet, n'essayez pas une commande "shorewall stop"
|
||||
tant que vous n'avez pas ajouté une entrée pour votre adresse IP (celle
|
||||
à partir de laquelle vous êtes connectée) dans <a
|
||||
href="Documentation.htm#Routestopped">/etc/shorewall/routestopped</a>.
|
||||
De la même manière, je ne vous recommande pas d'utiliser "shorewall
|
||||
restart"; il est plus intéressant de créer une <i><a
|
||||
href="configuration_file_basics.htm#Configs">configuration alternative</a></i>
|
||||
et de la tester en utilisant la commande <a
|
||||
href="starting_and_stopping_shorewall.htm">"shorewall try"</a>.</p>
|
||||
</div>
|
||||
<p align="left"><font size="2">Last updated 12/9/2002 - <a
|
||||
href="support.htm">Tom Eastep</a></font></p>
|
||||
<p align="left"><a href="copyright.htm"><font size="2">Copyright 2002
|
||||
Thomas M. Eastep</font></a></p>
|
||||
<br>
|
||||
<br>
|
||||
<br>
|
||||
<br>
|
||||
<br>
|
||||
<br>
|
||||
<br>
|
||||
</body>
|
||||
</html>
|
1073
STABLE/documentation/three-interface_fr.html
Executable file
1073
STABLE/documentation/three-interface_fr.html
Executable file
File diff suppressed because it is too large
Load Diff
1311
STABLE/documentation/two-interface_fr.html
Executable file
1311
STABLE/documentation/two-interface_fr.html
Executable file
File diff suppressed because it is too large
Load Diff
Loading…
Reference in New Issue
Block a user