mirror of
https://gitlab.com/shorewall/code.git
synced 2024-12-15 19:01:19 +01:00
98cab703a2
git-svn-id: https://shorewall.svn.sourceforge.net/svnroot/shorewall/trunk@428 fbd18981-670d-0410-9b5c-8dc0c1a9a2bb
1074 lines
39 KiB
HTML
Executable File
1074 lines
39 KiB
HTML
Executable File
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
|
||
<html>
|
||
<head>
|
||
<meta http-equiv="Content-Language" content="en-us">
|
||
<meta name="GENERATOR" content="Microsoft FrontPage 5.0">
|
||
<meta name="ProgId" content="FrontPage.Editor.Document">
|
||
<meta http-equiv="Content-Type"
|
||
content="text/html; charset=windows-1252">
|
||
<title>Three-Interface Firewall</title>
|
||
</head>
|
||
<body>
|
||
<table border="0" cellpadding="0" cellspacing="0"
|
||
style="border-collapse: collapse;" bordercolor="#111111" width="100%"
|
||
id="AutoNumber5" bgcolor="#400169" height="90">
|
||
<tbody>
|
||
<tr>
|
||
<td width="100%">
|
||
<h1 align="center"><font color="#ffffff">Three-Interface Firewall</font></h1>
|
||
</td>
|
||
</tr>
|
||
</tbody>
|
||
</table>
|
||
<h2 align="center">Version 2.0.1 Française</h2>
|
||
<p align="left"><small><i><u>Notes du traducteur</u> :<br>
|
||
Je ne prétends pas être un vrai traducteur dans le sens ou mon travail
|
||
n?est pas des plus précis (loin de là...). Je ne me suis pas attaché à
|
||
une traduction exacte du texte, mais plutôt à en faire une version
|
||
française intelligible par tous (et par moi). Les termes techniques sont
|
||
la plupart du temps conservés sous leur forme originale et mis entre
|
||
parenthèses car vous pouvez les retrouver dans le reste des
|
||
documentations ainsi que dans les fichiers de configuration. N?hésitez
|
||
pas à me contacter afin d?améliorer ce document <a
|
||
href="mailto:vetsel.patrice@wanadoo.fr">VETSEL Patrice</a> (merci à JMM
|
||
pour sa relecture et ses commentaires pertinents, ainsi qu'à Tom EASTEP
|
||
pour son formidable outil et sa disponibilité).</i></small></p>
|
||
<p align="left"><br>
|
||
Mettre en place un système linux en tant que firewall pour un petit
|
||
réseau contenant une DMZ est une chose assez simple à réaliser si vous
|
||
comprenez les bases et suivez cette documentation.</p>
|
||
<p>Ce guide ne prétend pas vous mettre au courant de toutes les
|
||
possibilités de Shorewall. Il se focalise sur les besoins pour
|
||
configurer Shorewall dans une de ses utilisations les plus populaire :</p>
|
||
<ul>
|
||
<li>Un système Linux utilisé en tant que firewall/routeur pour un
|
||
petit réseau local.</li>
|
||
<li>Une seule adresse IP publique.</li>
|
||
<li>Une DMZ connectée sur une interface Ethernet séparée.</li>
|
||
<li>Une connexion passant par l'ADSL, un Modem Câble, ISDN, Frame
|
||
Relay, RTC, ...</li>
|
||
</ul>
|
||
<p align="left">Voici le schéma d'une installation typique.</p>
|
||
<p align="center"> <img border="0" src="images/dmz1.png" width="692"
|
||
height="635"> </p>
|
||
<p>Ce guide suppose que vous avez le paquet iproute/iproute2
|
||
d'installé. Vous pouvez voir si le paquet est installé en vérifiant la
|
||
présence du programme ip sur votre système de firewall. Sous root,
|
||
utilisez la commande 'which' pour rechercher le programme :</p>
|
||
<pre> [root@gateway root]# which ip<br> /sbin/ip<br> [root@gateway root]#</pre>
|
||
<p>Je vous recommande dans un premier temps de parcourir tout le guide
|
||
pour vous familiariser avec ce qu'il va se passer, et de revenir au
|
||
début en effectuant le changements dans votre configuration. Les points
|
||
où, les changements dans la configuration sont recommandées, sont
|
||
signalés par une <img border="0" src="images/BD21298_.gif" width="13"
|
||
height="13"> </p>
|
||
<p><img border="0" src="images/j0213519.gif" width="60" height="60"> Si
|
||
vous éditez vos fichiers de configuration sur un système Windows, vous
|
||
devez les sauver comme des fichiers Unix si votre éditeur offre cette
|
||
option sinon vous devez les faire passer par dos2unix avant d'essayer de
|
||
les utiliser. De la même manière, si vous copiez un fichier de
|
||
configuration depuis votre disque dur Windows vers une disquette, vous
|
||
devez lancer dos2unix sur la copie avant de l'utiliser avec Shorewall.</p>
|
||
<ul>
|
||
<li><a href="http://www.simtel.net/pub/pd/51438.html">Windows Version
|
||
of dos2unix</a></li>
|
||
<li><a href="http://www.megaloman.com/%7Ehany/software/hd2u/">Linux
|
||
Version of dos2unix</a></li>
|
||
</ul>
|
||
<h2 align="left">Les Concepts de Shorewall</h2>
|
||
<p> <img border="0" src="images/BD21298_.gif" width="13" height="13"
|
||
alt=""> Les fichiers de configuration pour Shorewall sont situés dans
|
||
le répertoire /etc/shorewall -- pour de simples paramétrages, vous
|
||
n'avez à faire qu'avec quelques un d'entre eux comme décris dans ce
|
||
guide. Après avoir <a href="Install.htm">installé Shorewall</a>, <b>téléchargez
|
||
la configuration d'exemple <a
|
||
href="/pub/shorewall/LATEST.samples/three-interfaces.tgz">three-interface
|
||
sample</a>, un-tarez la (tar -zxvf three-interfaces.tgz) </b><b>et
|
||
copiez les fichiers vers /etc/shorewall (Ils remplaceront les fichiers
|
||
de même nom déjà existant dans /etc/shorewall installés lors de
|
||
l'installation de Shorewall)</b>.</p>
|
||
<p>En même temps que chacun des fichiers est présenté, je vous suggère
|
||
de jeter un oeil à ceux qui se trouvent réellement sur votre système --
|
||
chacun des fichiers contient des instructions de configuration
|
||
détaillées et des entrées par défaut.</p>
|
||
<p>Shorewall voit le réseau où il tourne comme composé par un ensemble
|
||
de <i>zones.</i> Dans les fichiers de configuration fournis pour trois
|
||
interfaces, trois zones sont définies :</p>
|
||
<table border="0" style="border-collapse: collapse;" cellpadding="3"
|
||
cellspacing="0" id="AutoNumber2">
|
||
<tbody>
|
||
<tr>
|
||
<td><u><b>Name</b></u></td>
|
||
<td><u><b>Description</b></u></td>
|
||
</tr>
|
||
<tr>
|
||
<td><b>net</b></td>
|
||
<td><b>The Internet</b></td>
|
||
</tr>
|
||
<tr>
|
||
<td><b>loc</b></td>
|
||
<td><b>Votre réseau local</b></td>
|
||
</tr>
|
||
<tr>
|
||
<td><b>dmz</b></td>
|
||
<td><b>Zone </b><b>Demilitarisée</b></td>
|
||
</tr>
|
||
</tbody>
|
||
</table>
|
||
<p>Les noms de zone sont définis dans <a href="Documentation.htm#Zones">/etc/shorewall/zones</a>.</p>
|
||
<p>Shorewall reconnaît aussi le système de firewall comme sa propre
|
||
zone - par défaut, le firewall lui même est connu en tant que <b>fw</b>.</p>
|
||
<p>Les règles concernant le trafic à autoriser ou à interdire sont
|
||
exprimées en utilisant les termes de zones.</p>
|
||
<ul>
|
||
<li>Vous exprimez les politiques par défaut pour les connexions d'une
|
||
zone à une autre dans le fichier<a href="Documentation.htm#Policy">
|
||
/etc/shorewall/policy </a>.</li>
|
||
<li>Vous définissez les exceptions à ces règles de politiques par
|
||
défaut dans le fichier <a href="Documentation.htm#Rules">/etc/shorewall/rules</a>.</li>
|
||
</ul>
|
||
<p>Pour chacune des demandes de connexion entrantes dans le firewall,
|
||
les demandes sont en premier lieu comparées par rapport au fichier
|
||
/etc/shorewall/rules. Si aucune des règles dans ce fichier ne
|
||
correspondent, alors la première politique dans /etc/shorewall/policy
|
||
qui y correspond est appliquée. Si cette politique est REJECT ou DROP la
|
||
requête est alors comparée par rapport aux règles contenues dans
|
||
/etc/shorewall/common (l'archive d'exemple vous fournit ce fichier).</p>
|
||
<p>Le fichier /etc/shorewall/policy d'exemple contenu dans l'archive
|
||
three-interface sample a les politiques suivantes :</p>
|
||
<blockquote>
|
||
<table border="1" cellpadding="2" style="border-collapse: collapse;"
|
||
id="AutoNumber3">
|
||
<tbody>
|
||
<tr>
|
||
<td><u><b>Source Zone</b></u></td>
|
||
<td><u><b>Destination Zone</b></u></td>
|
||
<td><u><b>Policy</b></u></td>
|
||
<td><u><b>Log Level</b></u></td>
|
||
<td><u><b>Limit:Burst</b></u></td>
|
||
</tr>
|
||
<tr>
|
||
<td>loc</td>
|
||
<td>net</td>
|
||
<td>ACCEPT</td>
|
||
<td> <br>
|
||
</td>
|
||
<td> <br>
|
||
</td>
|
||
</tr>
|
||
<tr>
|
||
<td>net</td>
|
||
<td>all</td>
|
||
<td>DROP</td>
|
||
<td>info</td>
|
||
<td> <br>
|
||
</td>
|
||
</tr>
|
||
<tr>
|
||
<td>all</td>
|
||
<td>all</td>
|
||
<td>REJECT</td>
|
||
<td>info</td>
|
||
<td> <br>
|
||
</td>
|
||
</tr>
|
||
</tbody>
|
||
</table>
|
||
</blockquote>
|
||
<blockquote>
|
||
<p>Dans l'archive three-interface, la ligne suivante est existante
|
||
mais elle est commentée. Si vous souhaitez que votre système de firewall
|
||
puisse avoir un accès complet aux serveurs sur Internet, décommentez la.</p>
|
||
<table border="1" cellpadding="2" style="border-collapse: collapse;"
|
||
id="AutoNumber3">
|
||
<tbody>
|
||
<tr>
|
||
<td><u><b>Source Zone</b></u></td>
|
||
<td><u><b>Destination Zone</b></u></td>
|
||
<td><u><b>Policy</b></u></td>
|
||
<td><u><b>Log Level</b></u></td>
|
||
<td><u><b>Limit:Burst</b></u></td>
|
||
</tr>
|
||
<tr>
|
||
<td>fw</td>
|
||
<td>net</td>
|
||
<td>ACCEPT</td>
|
||
<td> <br>
|
||
</td>
|
||
<td> <br>
|
||
</td>
|
||
</tr>
|
||
</tbody>
|
||
</table>
|
||
</blockquote>
|
||
<p>Les politiques précédentes vont :</p>
|
||
<ol>
|
||
<li>permettre toutes demandes de connexion depuis le firewall vers
|
||
l'Internet</li>
|
||
<li>drop (ignorer) toutes les demandes de connexion depuis l'Internet
|
||
vers votre firewall ou vers votre réseau local</li>
|
||
<li>Facultativement accepter toutes les demandes de connexion depuis
|
||
votre firewall et vers Internet (si vous decommentez la politique
|
||
précédente)</li>
|
||
<li>reject (rejeter) toutes les autres demandes de connexion.</li>
|
||
</ol>
|
||
<p><img border="0" src="images/BD21298_1.gif" width="13" height="13">A
|
||
ce point, éditez votre /etc/shorewall/policy et faites y les changements
|
||
que vous désire</p>
|
||
<h2 align="left">Les Interfaces Réseau</h2>
|
||
<p align="center"> <img border="0" src="images/dmz1.png" width="692"
|
||
height="635"> </p>
|
||
<p align="left">Le firewall a trois interfaces de réseau. Lorsque la
|
||
connexion Internet passe par le câble ou par un ROUTEUR (pas un simple
|
||
modem) ADSL (non USB), l'interface vers l'extérieur (External Interface)
|
||
sera l'adaptateur sur lequel est connecté le routeur (e.g., eth0) à
|
||
moins que vous ne vous connectiez par Point-to-PointProtocol
|
||
overEthernet (PPPoE) ou par Point-to-PointTunneling Protocol (PPTP),
|
||
dans ce cas l'interface extérieure sera une interface de type ppp (e.g.,
|
||
ppp0). Si vous vous connectez par un simple modem (RTC), votre interface
|
||
extérieure sera aussi ppp0. Si votre connexion passe par Numéris
|
||
(ISDN), votre interface extérieure sera ippp0<b>.</b></p>
|
||
<p align="left"><img border="0" src="images/BD21298_1.gif" width="13"
|
||
height="13"> Si votre interface vers l'extérieur est ppp0 ou ippp0
|
||
alors vous mettrez CLAMPMSS=yes dans <a href="Documentation.htm#Conf">
|
||
/etc/shorewall/shorewall.conf.</a></p>
|
||
<p align="left">Votre <i>Interface locale</i> sera un adaptateur
|
||
Ethernet (eth0, eth1 ou eth2) et sera connecté à un hub ou un
|
||
switch. Vos ordinateurs locaux seront connectés à ce même switch (note :
|
||
si vous n'avez qu'un seul ordinateur en local, vous pouvez le connecter
|
||
directement au firewall par un <i>câble croisé</i>).</p>
|
||
<p align="left">Votre <i>interface DMZ</i> sera aussi un adaptateur
|
||
Ethernet (eth0, eth1 ou eth2) et sera connecté à un hub ou un switch.
|
||
Vos ordinateurs appartenant à la DMZ seront connectés à ce même switch
|
||
(note : si vous n'avez qu'un seul ordinateur dans la DMZ, vous pouvez
|
||
le connecter directement au firewall par un <i>câble croisé</i>).</p>
|
||
<p align="left"><u><b> <img border="0" src="images/j0213519.gif"
|
||
width="60" height="60"></b></u> Ne connectez pas l'interface interne et
|
||
externe sur le même hub ou switch (même pour tester). Cela ne
|
||
fonctionnera pas et ne croyez pas que ce soit shorewall qui ne marche
|
||
pas.</p>
|
||
<p align="left"><img border="0" src="images/BD21298_2.gif" width="13"
|
||
height="13"> L'exemple de configuration de Shorewall pour trois
|
||
interfaces suppose que l'interface externe est <b>eth0, </b>l'interface
|
||
locale est <b>eth1 </b> et que la DMZ est sur l'interface <b>eth2</b>.
|
||
Si votre configuration diffère, vous devrez modifier le fichier
|
||
d'exemple /etc/shorewall/interfaces en conséquence. Tant que vous y
|
||
êtes, vous pourriez parcourir la liste des options qui sont spécifiées
|
||
pour les interfaces. Quelques trucs :</p>
|
||
<ul>
|
||
<li>
|
||
<p align="left">Si votre interface externe est ppp0 ou ippp0, vous
|
||
pouvez remplacer le "detect" dans la seconde colonne par un "-". </p>
|
||
</li>
|
||
<li>
|
||
<p align="left">Si votre interface externe est ppp0 ou ippp0 ou
|
||
bien si vous avez une adresse IP statique, vous pouvez enlever le "dhcp"
|
||
de la liste d'option. </p>
|
||
</li>
|
||
</ul>
|
||
<h2 align="left">Adresses IP</h2>
|
||
<p align="left">Avant d'aller plus loin, nous devons dire quelques mots
|
||
au sujet du Protocole d'adresse Internet (IP). Normalement, votre
|
||
fournisseur Internet (ISP) vous assignera une seule adresse IP (single
|
||
Public IP address). Cette adresse peut être assignée par le Dynamic Host
|
||
Configuration Protocol (DHCP) ou lors de l'établissement de votre
|
||
connexion lorsque vous vous connectez (modem standard) ou établissez
|
||
votre connexion PPP. Dans de rares cas , votre provider peu vous
|
||
assigner une adresse statique (staticIP address); cela signifie que vous
|
||
configurez votre interface externe sur votre firewall afin d'utiliser
|
||
cette adresse de manière permanente. Une fois votre adresse externe
|
||
assignée, elle va être partagée par tout vos systèmes lors de l'accès à
|
||
Internet. Vous devrez assigner vos propres adresses à votre réseau
|
||
local (votre interface interne sur le firewall ainsi que les autres
|
||
ordinateurs). La RFC 1918 réserve plusieurs plages d'IP (Private IP
|
||
address ranges) à cette fin :</p>
|
||
<div align="left">
|
||
<pre> 10.0.0.0 - 10.255.255.255<br> 172.16.0.0 - 172.31.255.255<br> 192.168.0.0 - 192.168.255.255</pre>
|
||
</div>
|
||
<div align="left">
|
||
<p align="left"><img border="0" src="images/BD21298_.gif" width="13"
|
||
height="13"> Avant de lancer Shorewall, vous devriez regarder l'adresse
|
||
de votre interface externe et si elle est comprise dans une des plages
|
||
précédentes, vous devriez enlever l'option 'norfc1918' dans le fichier
|
||
/etc/shorewall/interfaces.</p>
|
||
</div>
|
||
<div align="left">
|
||
<p align="left">Vous devrez assigner les adresses locales à un
|
||
sous-réseau (<i>sub-network </i>ou <i>subnet)</i> et les adresse pour
|
||
la DMZ à un autre sous-réseau. Pour ce faire, nous pouvons considérer
|
||
qu'un sous-réseau consiste en une plage d'adresse x.y.z.0 à x.y.z.255.
|
||
Chacun des sous-réseaux possèdera une masque (<i>Subnet Mask)</i> de
|
||
255.255.255.0. L'adresse x.y.z.0 est réservée comme l'adresse du
|
||
sous-réseau (<i>Subnet Address)</i> et x.y.z.255 est réservée en
|
||
tant qu'adresse de broadcast du sous-réseau (<i>Subnet Broadcast</i> <i>Address)</i>.
|
||
Sous Shorewall, un sous-réseau est décrit/désigné en utilisant la
|
||
notation <a href="shorewall_setup_guide.htm#Subnets"><i>Classless
|
||
InterDomain Routing</i>(CIDR)</a> qui consiste en l'adresse du
|
||
sous-réseau suivie par "/24". Le "24" se réfère au nombre de bits "1"
|
||
consécutifs dans la partie gauche du masque de sous-réseau. </p>
|
||
</div>
|
||
<div align="left">
|
||
<p align="left">Exemple de sous-réseau (subnet) :</p>
|
||
</div>
|
||
<div align="left">
|
||
<blockquote>
|
||
<table border="1" style="border-collapse: collapse;" id="AutoNumber1"
|
||
cellpadding="2">
|
||
<tbody>
|
||
<tr>
|
||
<td><b>Plage:</b></td>
|
||
<td>10.10.10.0 - 10.10.10.255</td>
|
||
</tr>
|
||
<tr>
|
||
<td><b>Subnet Address:</b></td>
|
||
<td>10.10.10.0</td>
|
||
</tr>
|
||
<tr>
|
||
<td><b>Broadcast Address:</b></td>
|
||
<td>10.10.10.255</td>
|
||
</tr>
|
||
<tr>
|
||
<td><b>CIDR Notation:</b></td>
|
||
<td>10.10.10.0/24</td>
|
||
</tr>
|
||
</tbody>
|
||
</table>
|
||
</blockquote>
|
||
</div>
|
||
<div align="left">
|
||
<p align="left">Il est de convention d'assigner à l'interface interne
|
||
la première adresse utilisable dans le sous-réseau (10.10.10.1 dans
|
||
l'exemple précédent) ou la dernière utilisable (10.10.10.254).</p>
|
||
</div>
|
||
<div align="left">
|
||
<p align="left">L'un des buts d'un sous-réseau est de permettre à tous
|
||
les ordinateurs dans le sous-réseau de savoir avec quels autres
|
||
ordinateurs ils peuvent communiquer directement. Pour communiquer avec
|
||
des systèmes en dehors du sous-réseau, les ordinateurs envoient des
|
||
paquets à travers le gateway (routeur).</p>
|
||
</div>
|
||
<div align="left">
|
||
<p align="left"><img border="0" src="images/BD21298_1.gif" width="13"
|
||
height="13"> Vos ordinateurs locaux (ordinateur local 1 et 2) devraient
|
||
être configurés avec leur passerelle par défaut (<i>default gateway)</i>pointant
|
||
sur l'adresse IP de l'interface interne du firewall, et les ordinateurs
|
||
de la DMZ devraient être configurés avec leur passerelle par défaut (<i>default
|
||
gateway)</i> pointant sur l'adresse IP de l'interface DMZ du firewall. </p>
|
||
</div>
|
||
<p align="left">Cette courte description ne fait que survoler les
|
||
concepts de routage et de sous-réseau. Si vous vous voulez en apprendre
|
||
plus sur l'adressage IP et le routage, je vous recommande chaudement <i>"IP
|
||
Fundamentals: What Everyone Needs to Know about Addressing &
|
||
Routing",</i> Thomas A. Maufer, Prentice-Hall, 1999, ISBN
|
||
0-13-975483-0.</p>
|
||
<p align="left">Pour rappel, ce guide supposera que vous avez configuré
|
||
votre réseau comme montrer ci-dessous :</p>
|
||
<p align="center"> <img border="0" src="images/dmz2.png" width="721"
|
||
height="635"> </p>
|
||
<p align="left">La passerelle par défaut (default gateway) pour les
|
||
ordinateurs de la DMZ sera 10.10.11.254 et le passerelle par
|
||
défaut pour les ordinateurs en local sera 10.10.10.254.</p>
|
||
<h2 align="left">IP Masquerading (SNAT)</h2>
|
||
<p align="left">Les adresses réservées par la RFC 1918 sont parfois
|
||
désignées comme non-routables car les routeurs Internet (backbone) ne
|
||
font pas circuler les paquets qui ont une adresse de destination
|
||
appartenant à la RFC-1918. Lorsqu'un de vos systèmes en local (supposons
|
||
l'ordinateur1) demande une connexion à un serveur par Internet, le
|
||
firewall doit appliquer un NAT (Network Address Translation). Le
|
||
firewall ré écrit l'adresse source dans le paquet, et l'a remplace par
|
||
l'adresse de l'interface externe du firewall; en d'autres mots, le
|
||
firewall fait croire que c'est lui même qui initie la connexion. Ceci
|
||
est nécessaire afin que l'hôte de destination soit capable de renvoyer
|
||
les paquets au firewall (souvenez vous que les paquets qui ont pour
|
||
adresse de destination, une adresse réservée par la RFC 1918 ne pourront
|
||
pas être routés à travers Internet, donc l'hôte Internet ne pourra
|
||
adresser sa réponse à l'ordinateur 1). Lorsque le firewall reçoit le
|
||
paquet de réponse, il remet l'adresse de destination à 10.10.10.1 et
|
||
fait passer le paquet vers l'ordinateur 1. </p>
|
||
<p align="left">Sur les systèmes Linux, ce procédé est souvent appelé
|
||
de l'IP Masquerading mais vous verrez aussi le terme de Source Network
|
||
Address Translation (SNAT) utilisé. Shorewall suit la convention
|
||
utilisée avec Netfilter :</p>
|
||
<ul>
|
||
<li>
|
||
<p align="left">Masquerade désigne le cas ou vous laissez votre
|
||
firewall détecter automatiquement l'adresse de l'interface externe. </p>
|
||
</li>
|
||
<li>
|
||
<p align="left">SNAT désigne le cas où vous spécifiez explicitement
|
||
l'adresse source des paquets sortant de votre réseau local. </p>
|
||
</li>
|
||
</ul>
|
||
<p align="left">Sous Shorewall, autant le Masquerading que le SNAT sont
|
||
configuré avec des entrés dans le fichier /etc/shorewall/masq.</p>
|
||
<p align="left"><img border="0" src="images/BD21298_2.gif" width="13"
|
||
height="13"> Si votre interface externe est <b>eth0</b>, votre
|
||
interface locale <b>eth1</b> et votre interface pour la DMZ <b>eth2</b>
|
||
vous n'avez pas besoin de modifier le fichier fourni avec l'exemple.
|
||
Dans le cas contraire, éditez /etc/shorewall/masq et changez le en
|
||
conséquence.</p>
|
||
<p align="left"><img border="0" src="images/BD21298_2.gif" width="13"
|
||
height="13"> Si votre IP externe est statique, vous pouvez la mettre
|
||
dans la troisième colonne dans /etc/shorewall/masq si vous le désirez,
|
||
de toutes façons votre firewall fonctionnera bien si vous laissez cette
|
||
colonne vide. Le fait de mettre votre IP statique dans la troisième
|
||
colonne permet un traitement des paquets sortant un peu plus efficace.<br>
|
||
</p>
|
||
<p align="left"><img border="0" src="images/BD21298_.gif" width="13"
|
||
height="13" alt=""> Si vous utilisez les paquets Debian, vérifiez que
|
||
votre fichier de configuration shorewall.conf contient bien les valeurs
|
||
suivantes, si elles n'y sont pas faite les changements nécessaires :<br>
|
||
</p>
|
||
<ul>
|
||
<li>NAT_ENABLED=Yes</li>
|
||
<li>IP_FORWARDING=On<br>
|
||
</li>
|
||
</ul>
|
||
<h2 align="left">Port Forwarding (DNAT)</h2>
|
||
<p align="left">Un de nos buts est de, peut être, faire tourner un ou
|
||
plusieurs serveurs sur nos ordinateurs dans la DMZ. que ces ordinateurs
|
||
on une adresse RFC-1918, il n'est pas possible pour les clients sur
|
||
Internet de se connecter directement à eux. Il est nécessaire à ces
|
||
clients d'adresser leurs demandes de connexion au firewall qui ré écrit
|
||
l'adresse de destination de votre serveur, et fait passer le paquet à
|
||
celui-ci. Lorsque votre serveur répond, le firewall applique
|
||
automatiquement un SNAT pour ré écrire l'adresse source dans la réponse.</p>
|
||
<p align="left">Ce procédé est appelé Port Forwarding ou Destination
|
||
Network Address Translation(DNAT). Vous configurez le port forwarding en
|
||
utilisant les règles DNAT dans le fichier /etc/shorewall/rules.</p>
|
||
<p>La forme générale d'une simple règle de port forwarding dans
|
||
/etc/shorewall/rules est :</p>
|
||
<blockquote>
|
||
<table border="1" cellpadding="2" style="border-collapse: collapse;"
|
||
id="AutoNumber4">
|
||
<tbody>
|
||
<tr>
|
||
<td><u><b>ACTION</b></u></td>
|
||
<td><u><b>SOURCE</b></u></td>
|
||
<td><u><b>DESTINATION</b></u></td>
|
||
<td><u><b>PROTOCOL</b></u></td>
|
||
<td><u><b>PORT</b></u></td>
|
||
<td><u><b>SOURCE PORT</b></u></td>
|
||
<td><u><b>ORIGINAL ADDRESS</b></u></td>
|
||
</tr>
|
||
<tr>
|
||
<td>DNAT</td>
|
||
<td>net</td>
|
||
<td>dmz:<i><server local ip address> </i>[:<i><server
|
||
port></i>]</td>
|
||
<td><i><protocol></i></td>
|
||
<td><i><port></i></td>
|
||
<td> <br>
|
||
</td>
|
||
<td> <br>
|
||
</td>
|
||
</tr>
|
||
</tbody>
|
||
</table>
|
||
</blockquote>
|
||
<p>Si vous ne spécifiez pas le <i><server port></i>, il est
|
||
supposé être le même que <i><port></i>.</p>
|
||
<p>Exemple - vous faites tourner un serveur Web dans votre DMZ (2) et
|
||
vous voulez faire passer les paquets entrant en TCP sur le port 80 à ce
|
||
système :</p>
|
||
<blockquote>
|
||
<table border="1" cellpadding="2" style="border-collapse: collapse;"
|
||
id="AutoNumber4">
|
||
<tbody>
|
||
<tr>
|
||
<td><u><b>ACTION</b></u></td>
|
||
<td><u><b>SOURCE</b></u></td>
|
||
<td><u><b>DESTINATION</b></u></td>
|
||
<td><u><b>PROTOCOL</b></u></td>
|
||
<td><u><b>PORT</b></u></td>
|
||
<td><u><b>SOURCE PORT</b></u></td>
|
||
<td><u><b>ORIGINAL ADDRESS</b></u></td>
|
||
</tr>
|
||
<tr>
|
||
<td>DNAT</td>
|
||
<td>net</td>
|
||
<td>dmz:10.10.11.2</td>
|
||
<td>tcp</td>
|
||
<td>80</td>
|
||
<td># Fait suivre le port 80</td>
|
||
<td>depuis Internet</td>
|
||
</tr>
|
||
<tr>
|
||
<td>ACCEPT</td>
|
||
<td>loc</td>
|
||
<td>dmz:10.10.11.2</td>
|
||
<td>tcp</td>
|
||
<td>80</td>
|
||
<td>#Permet les connexions </td>
|
||
<td>depuis le réseau local</td>
|
||
</tr>
|
||
</tbody>
|
||
</table>
|
||
</blockquote>
|
||
<p>Deux points importants à garder en mémoire :</p>
|
||
<ul>
|
||
<li>Lorsque vous vous connectez à votre serveur à partir de votre
|
||
réseau local, vous devez utiliser l'adresse IP interne du serveur
|
||
(10.10.11.2).</li>
|
||
<li>Quelques fournisseurs Internet (Provider/ISP) bloquent les
|
||
requêtes de connexion entrantes sur le port 80. Si vous avez des
|
||
problèmes pour vous connecter à votre serveur web, essayez la règle
|
||
suivante et connectez vous sur le port 5000 (c.a.d., connectez vous à <a
|
||
href="http://w.x.y.z:5000"> http://w.x.y.z:5000</a> où w.x.y.z est votre
|
||
IP externe).</li>
|
||
</ul>
|
||
<blockquote>
|
||
<table border="1" cellpadding="2" style="border-collapse: collapse;"
|
||
id="AutoNumber4">
|
||
<tbody>
|
||
<tr>
|
||
<td><u><b>ACTION</b></u></td>
|
||
<td><u><b>SOURCE</b></u></td>
|
||
<td><u><b>DESTINATION</b></u></td>
|
||
<td><u><b>PROTOCOL</b></u></td>
|
||
<td><u><b>PORT</b></u></td>
|
||
<td><u><b>SOURCE PORT</b></u></td>
|
||
<td><u><b>ORIGINAL ADDRESS</b></u></td>
|
||
</tr>
|
||
<tr>
|
||
<td>DNAT</td>
|
||
<td>net</td>
|
||
<td>dmz:10.10.11.2:80</td>
|
||
<td>tcp</td>
|
||
<td>5000</td>
|
||
<td> <br>
|
||
</td>
|
||
<td> <br>
|
||
</td>
|
||
</tr>
|
||
</tbody>
|
||
</table>
|
||
</blockquote>
|
||
<p>Si vous voulez avoir la possibilité de vous connecter à votre
|
||
serveur depuis le réseau local en utilisant votre adresse externe, et si
|
||
vous avez une adresse IP externe statique (fixe), vous pouvez remplacer
|
||
la règle loc->dmz précédente par :</p>
|
||
<blockquote>
|
||
<table border="1" cellpadding="2" style="border-collapse: collapse;"
|
||
id="AutoNumber4">
|
||
<tbody>
|
||
<tr>
|
||
<td><u><b>ACTION</b></u></td>
|
||
<td><u><b>SOURCE</b></u></td>
|
||
<td><u><b>DESTINATION</b></u></td>
|
||
<td><u><b>PROTOCOL</b></u></td>
|
||
<td><u><b>PORT</b></u></td>
|
||
<td><u><b>SOURCE PORT</b></u></td>
|
||
<td><u><b>ORIGINAL ADDRESS</b></u></td>
|
||
</tr>
|
||
<tr>
|
||
<td>DNAT</td>
|
||
<td>net</td>
|
||
<td>dmz:10.10.11.2:80</td>
|
||
<td>tcp</td>
|
||
<td>80</td>
|
||
<td>-</td>
|
||
<td><i><external IP></i></td>
|
||
</tr>
|
||
</tbody>
|
||
</table>
|
||
</blockquote>
|
||
<p>Si vous avez une IP dynamique, alors vous devez vous assurer que
|
||
votre interface externe est en route avant de lancer Shorewall et vous
|
||
devez suivre les étapes suivantes (en supposant que votre interface
|
||
externe est <b>eth0</b>) :</p>
|
||
<ol>
|
||
<li>Insérez ce qui suit dans /etc/shorewall/params :<br>
|
||
<br>
|
||
ETH0_IP=`find_interface_address eth0`<br>
|
||
</li>
|
||
<li>Faites votre règle loc->dmz :</li>
|
||
</ol>
|
||
<blockquote>
|
||
<table border="1" cellpadding="2" style="border-collapse: collapse;"
|
||
id="AutoNumber4">
|
||
<tbody>
|
||
<tr>
|
||
<td><u><b>ACTION</b></u></td>
|
||
<td><u><b>SOURCE</b></u></td>
|
||
<td><u><b>DESTINATION</b></u></td>
|
||
<td><u><b>PROTOCOL</b></u></td>
|
||
<td><u><b>PORT</b></u></td>
|
||
<td><u><b>SOURCE PORT</b></u></td>
|
||
<td><u><b>ORIGINAL ADDRESS</b></u></td>
|
||
</tr>
|
||
<tr>
|
||
<td>DNAT</td>
|
||
<td>loc<br>
|
||
</td>
|
||
<td>dmz:10.10.11.2:80</td>
|
||
<td>tcp</td>
|
||
<td>80</td>
|
||
<td>-</td>
|
||
<td>$ETH0_IP</td>
|
||
</tr>
|
||
</tbody>
|
||
</table>
|
||
</blockquote>
|
||
<p>Si vous voulez accéder à votre serveur dans la DMZ en utilisant
|
||
votre adresse IP externe, regardez <a href="FAQ.htm#faq2a">FAQ 2a</a>.</p>
|
||
<p><img border="0" src="images/BD21298_2.gif" width="13" height="13"> A
|
||
ce point, ajoutez les règles DNAT et ACCEPT pour vos serveurs..</p>
|
||
<h2 align="left">Domain Name Server (DNS)</h2>
|
||
<p align="left">Normalement, quand vous vous connectez à votre
|
||
fournisseur (ISP), une partie consiste à obtenir votre adresse IP, votre
|
||
DNS pour le firewall (Domain Name Service) est configuré automatiquement
|
||
(c.a.d., le fichier /etc/resolv.conf a été écrit). Il arrive que votre
|
||
provider vous donne une paire d'adresse IP pour les DNS (name servers)
|
||
afin que vous configuriez manuellement votre serveur de nom primaire et
|
||
secondaire. La manière dont le DNS est configuré sur votre firewall est
|
||
de votre responsabilité. Vous pouvez procéder d'une de ses deux façons :</p>
|
||
<ul>
|
||
<li>
|
||
<p align="left">Vous pouvez configurer votre système interne pour
|
||
utiliser les noms de serveurs de votre provider. Si votre fournisseur
|
||
vous donne les adresses de leurs serveurs ou si ces adresses sont
|
||
disponibles sur leur site web, vous pouvez configurer votre système
|
||
interne afin de les utiliser. Si cette information n'est pas disponible,
|
||
regardez dans /etc/resolv.conf sur votre firewall -- les noms des
|
||
serveurs sont donnés dans l'enregistrement "nameserver" dans ce fichier. </p>
|
||
</li>
|
||
<li>
|
||
<p align="left"><img border="0" src="images/BD21298_2.gif"
|
||
width="13" height="13"> Vous pouvez installer/configurer un cache dns
|
||
(Caching Name Server) sur votre firewall ou dans la DMZ.<i> </i>Red Hat
|
||
a un RPM pour mettre en cache un serveur de nom (le RPM requis aussi le
|
||
RPM 'bind') et pour les utilisateurs de Bering, il y a dnscache.lrp. Si
|
||
vous adoptez cette approche, vous configurez votre système interne pour
|
||
utiliser le firewall lui même comme étant le seul serveur de nom
|
||
primaire. Vous pouvez utiliser l'adresse IP interne du firewall
|
||
(10.10.10.254 dans l'exemple) pour l'adresse de serveur de nom si vous
|
||
décidez de faire tourner le serveur de nom sur votre firewall. Pour
|
||
permettre à vos systèmes locaux de discuter avec votre serveur cache de
|
||
nom, vous devez ouvrir le port 53 (UDP ET TCP) sur le firewall vers le
|
||
réseau local; vous ferez ceci en ajoutant les règles suivantes dans
|
||
/etc/shorewall/rules. </p>
|
||
</li>
|
||
</ul>
|
||
<blockquote>
|
||
<p align="left">Si vous faites tourner le serveur de nom sur le
|
||
firewall :
|
||
<table border="1" cellpadding="2" style="border-collapse: collapse;"
|
||
id="AutoNumber4">
|
||
<tbody>
|
||
<tr>
|
||
<td><u><b>ACTION</b></u></td>
|
||
<td><u><b>SOURCE</b></u></td>
|
||
<td><u><b>DESTINATION</b></u></td>
|
||
<td><u><b>PROTOCOL</b></u></td>
|
||
<td><u><b>PORT</b></u></td>
|
||
<td><u><b>SOURCE PORT</b></u></td>
|
||
<td><u><b>ORIGINAL ADDRESS</b></u></td>
|
||
</tr>
|
||
<tr>
|
||
<td>ACCEPT</td>
|
||
<td>loc</td>
|
||
<td>fw</td>
|
||
<td>tcp</td>
|
||
<td>53</td>
|
||
<td> <br>
|
||
</td>
|
||
<td> <br>
|
||
</td>
|
||
</tr>
|
||
<tr>
|
||
<td>ACCEPT</td>
|
||
<td>loc</td>
|
||
<td>fw</td>
|
||
<td>udp</td>
|
||
<td>53</td>
|
||
<td> <br>
|
||
</td>
|
||
<td> <br>
|
||
</td>
|
||
</tr>
|
||
<tr>
|
||
<td>ACCEPT</td>
|
||
<td>dmz</td>
|
||
<td>fw</td>
|
||
<td>tcp</td>
|
||
<td>53</td>
|
||
<td> <br>
|
||
</td>
|
||
<td> <br>
|
||
</td>
|
||
</tr>
|
||
<tr>
|
||
<td>ACCEPT</td>
|
||
<td>dmz</td>
|
||
<td>fw</td>
|
||
<td>udp</td>
|
||
<td>53</td>
|
||
<td> <br>
|
||
</td>
|
||
<td> <br>
|
||
</td>
|
||
</tr>
|
||
</tbody>
|
||
</table>
|
||
</p>
|
||
</blockquote>
|
||
<div align="left">
|
||
<blockquote>
|
||
<p>Le serveur de nom tourne sur l'ordinateur 1 de la DMZ</p>
|
||
<table border="1" cellpadding="2" style="border-collapse: collapse;"
|
||
id="AutoNumber4">
|
||
<tbody>
|
||
<tr>
|
||
<td><u><b>ACTION</b></u></td>
|
||
<td><u><b>SOURCE</b></u></td>
|
||
<td><u><b>DESTINATION</b></u></td>
|
||
<td><u><b>PROTOCOL</b></u></td>
|
||
<td><u><b>PORT</b></u></td>
|
||
<td><u><b>SOURCE PORT</b></u></td>
|
||
<td><u><b>ORIGINAL ADDRESS</b></u></td>
|
||
</tr>
|
||
<tr>
|
||
<td>ACCEPT</td>
|
||
<td>loc</td>
|
||
<td>dmz:10.10.11.1</td>
|
||
<td>tcp</td>
|
||
<td>53</td>
|
||
<td> <br>
|
||
</td>
|
||
<td> <br>
|
||
</td>
|
||
</tr>
|
||
<tr>
|
||
<td>ACCEPT</td>
|
||
<td>loc</td>
|
||
<td>dmz:10.10.11.1</td>
|
||
<td>udp</td>
|
||
<td>53</td>
|
||
<td> <br>
|
||
</td>
|
||
<td> <br>
|
||
</td>
|
||
</tr>
|
||
<tr>
|
||
<td>ACCEPT</td>
|
||
<td>fw</td>
|
||
<td>dmz:10.10.10.1</td>
|
||
<td>tcp</td>
|
||
<td>53</td>
|
||
<td> <br>
|
||
</td>
|
||
<td> <br>
|
||
</td>
|
||
</tr>
|
||
<tr>
|
||
<td>ACCEPT</td>
|
||
<td>fw</td>
|
||
<td>dmz:10.10.10.1</td>
|
||
<td>udp</td>
|
||
<td>53</td>
|
||
<td> <br>
|
||
</td>
|
||
<td> <br>
|
||
</td>
|
||
</tr>
|
||
</tbody>
|
||
</table>
|
||
</blockquote>
|
||
</div>
|
||
<div align="left">
|
||
<h2 align="left">Autres Connexions</h2>
|
||
</div>
|
||
<div align="left">
|
||
<p align="left">L'exemple pour trois interfaces contient les règles
|
||
suivantes :</p>
|
||
</div>
|
||
<div align="left">
|
||
<blockquote>
|
||
<table border="1" cellpadding="2" style="border-collapse: collapse;"
|
||
id="AutoNumber4">
|
||
<tbody>
|
||
<tr>
|
||
<td><u><b>ACTION</b></u></td>
|
||
<td><u><b>SOURCE</b></u></td>
|
||
<td><u><b>DESTINATION</b></u></td>
|
||
<td><u><b>PROTOCOL</b></u></td>
|
||
<td><u><b>PORT</b></u></td>
|
||
<td><u><b>SOURCE PORT</b></u></td>
|
||
<td><u><b>ORIGINAL ADDRESS</b></u></td>
|
||
</tr>
|
||
<tr>
|
||
<td>ACCEPT</td>
|
||
<td>fw</td>
|
||
<td>net</td>
|
||
<td>udp</td>
|
||
<td>53</td>
|
||
<td> <br>
|
||
</td>
|
||
<td> <br>
|
||
</td>
|
||
</tr>
|
||
<tr>
|
||
<td>ACCEPT</td>
|
||
<td>fw</td>
|
||
<td>net</td>
|
||
<td>tcp</td>
|
||
<td>53</td>
|
||
<td> <br>
|
||
</td>
|
||
<td> <br>
|
||
</td>
|
||
</tr>
|
||
</tbody>
|
||
</table>
|
||
</blockquote>
|
||
</div>
|
||
<div align="left">
|
||
<p align="left">Ces règles permettent l'accès DNS depuis votre firewall
|
||
et peuvent être enlevées si vous avez décommenté la ligne dans
|
||
/etc/shorewall/policy autorisant toutes les connexions depuis votre
|
||
firewall et vers Internet.</p>
|
||
</div>
|
||
<div align="left">
|
||
<p align="left">L'exemple contient aussi :</p>
|
||
</div>
|
||
<div align="left">
|
||
<blockquote>
|
||
<table border="1" cellpadding="2" style="border-collapse: collapse;"
|
||
id="AutoNumber4">
|
||
<tbody>
|
||
<tr>
|
||
<td><u><b>ACTION</b></u></td>
|
||
<td><u><b>SOURCE</b></u></td>
|
||
<td><u><b>DESTINATION</b></u></td>
|
||
<td><u><b>PROTOCOL</b></u></td>
|
||
<td><u><b>PORT</b></u></td>
|
||
<td><u><b>SOURCE PORT</b></u></td>
|
||
<td><u><b>ORIGINAL ADDRESS</b></u></td>
|
||
</tr>
|
||
<tr>
|
||
<td>ACCEPT</td>
|
||
<td>loc</td>
|
||
<td>fw</td>
|
||
<td>tcp</td>
|
||
<td>22</td>
|
||
<td> <br>
|
||
</td>
|
||
<td> <br>
|
||
</td>
|
||
</tr>
|
||
<tr>
|
||
<td>ACCEPT</td>
|
||
<td>loc</td>
|
||
<td>dmz</td>
|
||
<td>tcp</td>
|
||
<td>22</td>
|
||
<td> <br>
|
||
</td>
|
||
<td> <br>
|
||
</td>
|
||
</tr>
|
||
</tbody>
|
||
</table>
|
||
</blockquote>
|
||
</div>
|
||
<div align="left">
|
||
<p align="left">Cette règle permet de faire fonctionner une serveur SSH
|
||
sur le firewall et sur tous les systèmes de la DMZ et d'y autoriser la
|
||
connexion à partir de votre réseau local.</p>
|
||
</div>
|
||
<div align="left">
|
||
<p align="left">Si vous désirez permettre d'autres connexions entre vos
|
||
systèmes, la forme générale est :</p>
|
||
</div>
|
||
<div align="left">
|
||
<blockquote>
|
||
<table border="1" cellpadding="2" style="border-collapse: collapse;"
|
||
id="AutoNumber4">
|
||
<tbody>
|
||
<tr>
|
||
<td><u><b>ACTION</b></u></td>
|
||
<td><u><b>SOURCE</b></u></td>
|
||
<td><u><b>DESTINATION</b></u></td>
|
||
<td><u><b>PROTOCOL</b></u></td>
|
||
<td><u><b>PORT</b></u></td>
|
||
<td><u><b>SOURCE PORT</b></u></td>
|
||
<td><u><b>ORIGINAL ADDRESS</b></u></td>
|
||
</tr>
|
||
<tr>
|
||
<td>ACCEPT</td>
|
||
<td><i><source zone></i></td>
|
||
<td><i><destination zone></i></td>
|
||
<td><i><protocol></i></td>
|
||
<td><i><port></i></td>
|
||
<td> <br>
|
||
</td>
|
||
<td> <br>
|
||
</td>
|
||
</tr>
|
||
</tbody>
|
||
</table>
|
||
</blockquote>
|
||
</div>
|
||
<div align="left">
|
||
<p align="left">Exemple - Vous voulez faire tourner un serveur DNS
|
||
disponible pour le publique sur votre firewall :</p>
|
||
</div>
|
||
<div align="left">
|
||
<blockquote>
|
||
<table border="1" cellpadding="2" style="border-collapse: collapse;"
|
||
id="AutoNumber4">
|
||
<tbody>
|
||
<tr>
|
||
<td><u><b>ACTION</b></u></td>
|
||
<td><u><b>SOURCE</b></u></td>
|
||
<td><u><b>DESTINATION</b></u></td>
|
||
<td><u><b>PROTOCOL</b></u></td>
|
||
<td><u><b>PORT</b></u></td>
|
||
<td><u><b>SOURCE PORT</b></u></td>
|
||
<td><u><b>ORIGINAL ADDRESS</b></u></td>
|
||
</tr>
|
||
<tr>
|
||
<td>ACCEPT</td>
|
||
<td>net</td>
|
||
<td>fw</td>
|
||
<td>tcp</td>
|
||
<td>53</td>
|
||
<td>#permet les accès DNS</td>
|
||
<td>depuis Internet</td>
|
||
</tr>
|
||
<tr>
|
||
<td>ACCEPT</td>
|
||
<td>net</td>
|
||
<td>fw</td>
|
||
<td>tcp</td>
|
||
<td>53</td>
|
||
<td>#permet les accès DNS</td>
|
||
<td>depuis Internet</td>
|
||
</tr>
|
||
</tbody>
|
||
</table>
|
||
</blockquote>
|
||
</div>
|
||
<div align="left">
|
||
<p align="left">Ces deux règles seront, bien sur, ajoutées aux règles
|
||
décrites dans "Vous pouvez installer/configurer un cache dns (Caching
|
||
Name Server) sur votre firewall ou dans la DMZ".</p>
|
||
</div>
|
||
<div align="left">
|
||
<p align="left">Si vous ne savez pas quel port ou protocole une
|
||
application particulière utilise, regardez <a href="ports.htm">ici</a>.</p>
|
||
</div>
|
||
<div align="left">
|
||
<p align="left">Important: Je ne vous recommande pas d'autoriser le
|
||
telnet depuis ou vers l'Internet car il utilise du texte en clair (même
|
||
pour le login et le mot de passe !). Si vous voulez avoir un accès au
|
||
shell de votre firewall depuis Internet, utilisez SSH :</p>
|
||
</div>
|
||
<div align="left">
|
||
<blockquote>
|
||
<table border="1" cellpadding="2" style="border-collapse: collapse;"
|
||
id="AutoNumber4">
|
||
<tbody>
|
||
<tr>
|
||
<td><u><b>ACTION</b></u></td>
|
||
<td><u><b>SOURCE</b></u></td>
|
||
<td><u><b>DESTINATION</b></u></td>
|
||
<td><u><b>PROTOCOL</b></u></td>
|
||
<td><u><b>PORT</b></u></td>
|
||
<td><u><b>SOURCE PORT</b></u></td>
|
||
<td><u><b>ORIGINAL ADDRESS</b></u></td>
|
||
</tr>
|
||
<tr>
|
||
<td>ACCEPT</td>
|
||
<td>net</td>
|
||
<td>fw</td>
|
||
<td>tcp</td>
|
||
<td>22</td>
|
||
<td> <br>
|
||
</td>
|
||
<td> <br>
|
||
</td>
|
||
</tr>
|
||
</tbody>
|
||
</table>
|
||
</blockquote>
|
||
</div>
|
||
<div align="left">
|
||
<p align="left"><img border="0" src="images/BD21298_2.gif" width="13"
|
||
height="13"> Et maintenant, éditez /etc/shorewall/rules pour rajouter
|
||
les autres connexions désirées.</p>
|
||
</div>
|
||
<div align="left">
|
||
<h2 align="left">Lancer et Arrêter son Firewall</h2>
|
||
</div>
|
||
<div align="left">
|
||
<p align="left"> <img border="0" src="images/BD21298_2.gif" width="13"
|
||
height="13" alt="Arrow"> La <a href="Install.htm">procédure
|
||
d'installation</a> configure votre système pour lancer Shorewall au boot
|
||
du système, mais au début avec la version 1.3.9 de Shorewall le
|
||
lancement est désactivé, n'essayer pas de lancer Shorewall avec que la
|
||
configuration soit finie. Une fois que vous en avez fini avec la
|
||
configuration du firewall, vous pouvez permettre le lancement de
|
||
Shorewall en supprimant le fichier /etc/shorewall/startup_disabled.<br>
|
||
</p>
|
||
<p align="left">IMPORTANT: Les utilisateurs des paquets .deb doivent
|
||
éditer /etc/default/shorewall et mettre 'startup=1'<font color="#ff0000">.</font><br>
|
||
</p>
|
||
</div>
|
||
<div align="left">
|
||
<p align="left">Le firewall est activé en utilisant la commande
|
||
"shorewall start" et arrêté avec "shorewall stop". Lorsque le firewall
|
||
est stoppé, le routage est autorisé sur les hôtes qui possèdent une
|
||
entrée dans <a href="Documentation.htm#Routestopped">/etc/shorewall/routestopped</a>.
|
||
Un firewall qui tourne peut être relancé en utilisant la commande
|
||
"shorewall restart". Si vous voulez enlever toutes traces de Shorewall
|
||
sur votre configuration de Netfilter, utilisez "shorewall clear".</p>
|
||
</div>
|
||
<div align="left">
|
||
<p align="left"><img border="0" src="images/BD21298_2.gif" width="13"
|
||
height="13"> L'exemple pour trois interfaces suppose que vous voulez
|
||
permettre le routage depuis/vers <b>eth1 </b>(votre réseau local) et<b>
|
||
eth2</b>(DMZ) lorsque Shorewall est arrêté. Si ces deux
|
||
interfaces ne sont pas connectées à votre réseau local et votre DMZ, ou
|
||
si vous voulez permettre un ensemble d'hôtes différents, modifiez
|
||
/etc/shorewall/routestopped en conséquence.</p>
|
||
</div>
|
||
<div align="left">
|
||
<p align="left">ATTENTION: Si vous êtes connecté à votre firewall
|
||
depuis Internet, n'essayez pas une commande "shorewall stop" tant que
|
||
vous n'avez pas ajouté une entrée pour votre adresse IP (celle à partir
|
||
de laquelle vous êtes connectée) dans <a
|
||
href="Documentation.htm#Routestopped">/etc/shorewall/routestopped</a>.
|
||
De la même manière, je ne vous recommande pas d'utiliser "shorewall
|
||
restart"; il est plus intéressant de créer une <i><a
|
||
href="configuration_file_basics.htm#Configs">configuration </a></i><i><a
|
||
href="file:///C:/Mes%20documents/shorewalldoc/configuration_file_basics.htm#Configs">alternative</a></i>et
|
||
de la tester en utilisant la commande <a
|
||
href="starting_and_stopping_shorewall.htm">"shorewall try"</a>.</p>
|
||
</div>
|
||
<p align="left"><font size="2">Last updated 12/20/2002 - <a
|
||
href="support.htm">Tom Eastep</a></font></p>
|
||
<p align="left"><a href="copyright.htm"><font size="2">Copyright 2002
|
||
Thomas M. Eastep</font></a></p>
|
||
<br>
|
||
<br>
|
||
<br>
|
||
<br>
|
||
<br>
|
||
<br>
|
||
<br>
|
||
<br>
|
||
<br>
|
||
<br>
|
||
<br>
|
||
<br>
|
||
<br>
|
||
<br>
|
||
<br>
|
||
<br>
|
||
<br>
|
||
<br>
|
||
</body>
|
||
</html>
|