mirror of
https://gitlab.com/shorewall/code.git
synced 2024-12-25 07:38:57 +01:00
c2ccd7fd3d
git-svn-id: https://shorewall.svn.sourceforge.net/svnroot/shorewall/trunk@800 fbd18981-670d-0410-9b5c-8dc0c1a9a2bb
1340 lines
42 KiB
HTML
Executable File
1340 lines
42 KiB
HTML
Executable File
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 3.2//EN">
|
|
<html>
|
|
<head>
|
|
<meta http-equiv="CONTENT-TYPE"
|
|
content="text/html; charset=iso-8859-1">
|
|
<title>Two-Interface Firewall</title>
|
|
<meta name="GENERATOR" content="OpenOffice.org 1.0.1 (Linux)">
|
|
<meta name="CREATED" content="20030121;19181000">
|
|
<meta name="CHANGED" content="20030121;20290700">
|
|
<meta name="ProgId" content="FrontPage.Editor.Document">
|
|
<meta name="Microsoft Theme" content="none">
|
|
<meta http-equiv="Content-Language" content="en-us">
|
|
</head>
|
|
<body lang="fr-FR">
|
|
<h1 style="text-align: center;">Basic Two-Interface Firewall</h1>
|
|
<p align="left"><br>
|
|
<small><i><u>Notes du traducteur</u> :<br>
|
|
Je ne prétends pas être un vrai traducteur dans le sens ou
|
|
mon travail n’est pas des plus précis (loin de là...). Je
|
|
ne me suis pas attaché à une traduction exacte du texte,
|
|
mais plutôt
|
|
à en faire une version française intelligible par tous
|
|
(et
|
|
par moi). Les termes techniques sont la plupart du temps
|
|
conservés sous leur forme originale et mis entre
|
|
parenthèses car vous pouvez les retrouver dans le reste des
|
|
documentations ainsi que dans les fichiers de configuration.
|
|
N’hésitez pas à me contacter afin d’améliorer ce
|
|
document <a href="mailto:vetsel.patrice@wanadoo.fr">VETSEL Patrice</a>
|
|
(merci à JMM pour sa relecture et ses commentaires pertinents,
|
|
ainsi qu'à Tom EASTEP pour son formidable outil et sa
|
|
disponibilité)</i></small><i>.<br>
|
|
<br>
|
|
</i></p>
|
|
<p align="left">Mettre en place un système Linux en tant que
|
|
firewall pour un petit réseau est une chose assez simple, si
|
|
vous comprenez les bases et suivez la documentation.</p>
|
|
<p>Ce guide ne veut pas vous apprendre tous les rouages de Shorewall.
|
|
Il
|
|
se focalise sur ce qui est nécessaire pour configurer Shorewall,
|
|
dans son utilisation la plus courante :</p>
|
|
<ul>
|
|
<li>
|
|
<p style="margin-bottom: 0cm;">Un système Linux
|
|
utilisé en tant que firewall/routeur pour un petit réseau
|
|
local. </p>
|
|
</li>
|
|
<li>
|
|
<p style="margin-bottom: 0cm;">Une seule adresse IP publique. </p>
|
|
</li>
|
|
<li>
|
|
<p>Une connexion Internet par le biais d'un modem câble,
|
|
ADSL, ISDN, "Frame Relay", RTC ... </p>
|
|
</li>
|
|
</ul>
|
|
<p align="left">Voici un schéma d'une installation typique.</p>
|
|
<p align="center"><img src="images/basics.png" name="Image1"
|
|
align="bottom" width="444" height="635" border="0"> </p>
|
|
<p><b>Si vous faites tourner Shorewall sous Mandrake 9.0 ou plus
|
|
récent, vous pouvez facilement réaliser la configuration
|
|
ci-dessus en utilisant l'applet Mandrake "Internet Connection Sharing".
|
|
Depuis le "Mandrake Control Center", sélectionnez "Network &
|
|
Internet" et "Connection Sharing". Vous ne devriez pas avoir besoin de
|
|
vous référer à
|
|
ce guide.</b></p>
|
|
<p>Ce guide suppose que vous avez le paquet iproute/iproute2
|
|
d'installé.<i> </i>Vous pouvez voir si le paquet est
|
|
installé en vérifiant la présence du programme ip
|
|
sur votre système de firewall.
|
|
Sous root, utilisez la commande 'which' pour rechercher le programme :</p>
|
|
<pre> [root@gateway root]# which ip<br> /sbin/ip<br> [root@gateway root]#</pre>
|
|
<p>Je vous recommande dans un premier temps de parcourir tout le guide
|
|
pour vous familiariser avec ce qui va se passer, et de revenir au
|
|
début en effectuant le changements dans votre configuration. Les
|
|
points où, les changements dans la configuration sont
|
|
recommandées, sont signalés par une <img
|
|
src="images/BD21298_.gif" name="Image2" align="bottom" width="13"
|
|
height="13" border="0"> .</p>
|
|
<p><img src="images/j0213519.gif" name="Image3" align="bottom"
|
|
width="60" height="60" border="0"> Si vous
|
|
éditez vos fichiers de configuration
|
|
sur un système Windows, vous devez les sauver comme des fichiers
|
|
Unix si votre éditeur offre cette option sinon vous devez les
|
|
faire
|
|
passer par dos2unix avant d'essayer de les utiliser. De la même
|
|
manière, si vous copiez un fichier de configuration depuis votre
|
|
disque dur Windows vers une disquette, vous devez lancer dos2unix sur
|
|
la copie avant de l'utiliser avec Shorewall.</p>
|
|
<ul>
|
|
<li>
|
|
<p style="margin-bottom: 0cm;"><a
|
|
href="http://www.simtel.net/pub/pd/51438.html">Windows Version of
|
|
dos2unix</a> </p>
|
|
</li>
|
|
<li>
|
|
<p><a href="http://www.megaloman.com/%7Ehany/software/hd2u/">Linux
|
|
Version of dos2unix</a> </p>
|
|
</li>
|
|
</ul>
|
|
<h2 align="left">Les Concepts de Shorewall</h2>
|
|
<p><img src="images/BD21298_.gif" name="Image4" align="bottom"
|
|
width="13" height="13" border="0"> Les fichiers de
|
|
configuration pour Shorewall sont dans le répertoire
|
|
/etc/shorewall -- pour de simples configurations, vous n'aurez
|
|
seulement à faire qu'avec quelques fichiers comme décrit
|
|
dans ce guide. Après avoir <a href="Install.htm">installé
|
|
Shorewall</a>,
|
|
télé chargez<b> le <a
|
|
href="http://www1.shorewall.net/pub/shorewall/Samples/">two-interface
|
|
sample</a>, un-tarez le (tar -zxvf two-interfaces.tgz) et copiez les
|
|
fichiers vers /etc/shorewall (ces fichiers remplaceront les fichiers de
|
|
même nom).</b></p>
|
|
<p>Parallèlement à la présentation de chacun des
|
|
fichiers, je vous suggère de regarder le fichier qui se trouve
|
|
réellement sur votre système -- tous les fichiers
|
|
contiennent des instructions de configuration détaillées
|
|
et des valeurs par défaut.</p>
|
|
<p>Shorewall voit le réseau où il tourne, comme un
|
|
ensemble de <i>zones.</i> Dans une configuration avec deux interfaces,
|
|
les noms des zones suivantes sont utilisés:</p>
|
|
<a name="AutoNumber2"></a>
|
|
<table border="0" cellpadding="3" cellspacing="0">
|
|
<tbody>
|
|
<tr>
|
|
<td>
|
|
<p><u><b>Nom</b></u></p>
|
|
</td>
|
|
<td>
|
|
<p><u><b>Description</b></u></p>
|
|
</td>
|
|
</tr>
|
|
<tr>
|
|
<td>
|
|
<p><b>net</b></p>
|
|
</td>
|
|
<td>
|
|
<p><b>Internet</b></p>
|
|
</td>
|
|
</tr>
|
|
<tr>
|
|
<td>
|
|
<p><b>loc</b></p>
|
|
</td>
|
|
<td>
|
|
<p><b>Votre réseau local</b></p>
|
|
</td>
|
|
</tr>
|
|
</tbody>
|
|
</table>
|
|
<p>Les zones sont définies dans le fichier<a
|
|
href="Documentation.htm#Zones">/etc/shorewall/zones</a> .</p>
|
|
<p>Shorewall reconnaît aussi le système de firewall comme
|
|
sa propre zone - par défaut, le firewall est connu comme<b> fw.</b></p>
|
|
<p>Les règles à propos de quel trafic autoriser, et de
|
|
quel trafic interdire sont exprimées en terme de zones.</p>
|
|
<ul>
|
|
<li>
|
|
<p style="margin-bottom: 0cm;">Vous exprimez votre politique par
|
|
défaut pour les connexions d'une zone vers une autre zone dans
|
|
le fichier<a href="Documentation.htm#Policy"> /etc/shorewall/policy </a>.
|
|
</p>
|
|
</li>
|
|
<li>
|
|
<p>Vous définissez les exceptions à ces politiques
|
|
pas défaut dans le fichier <a href="Documentation.htm#Rules">/etc/shorewall/rules
|
|
</a>. </p>
|
|
</li>
|
|
</ul>
|
|
<p>Pour chaque connexion demandant à entrer dans le firewall, la
|
|
requête est en premier lieu comparée par rapport au
|
|
fichier /etc/shorewall/rules. Si aucune règle dans ce fichier ne
|
|
correspond à la demande
|
|
de connexion alors la première politique dans le fichier
|
|
/etc/shorewall/policy qui y correspond sera appliquée. Si cette
|
|
politique est REJECT ou
|
|
DROP la requête est dans un premier temps comparée
|
|
par
|
|
rapport aux règles contenues dans /etc/shorewall/common.</p>
|
|
<p>Le fichier /etc/shorewall/policy inclue dans l'archive d'exemple
|
|
(two-interface) a les politiques suivantes:</p>
|
|
<a name="AutoNumber3"></a>
|
|
<dl>
|
|
<dd>
|
|
<table border="1" cellpadding="2" cellspacing="2">
|
|
<tbody>
|
|
<tr>
|
|
<td>
|
|
<p><u><b>Source Zone</b></u></p>
|
|
</td>
|
|
<td>
|
|
<p><u><b>Destination Zone</b></u></p>
|
|
</td>
|
|
<td>
|
|
<p><u><b>Policy</b></u></p>
|
|
</td>
|
|
<td>
|
|
<p><u><b>Log Level</b></u></p>
|
|
</td>
|
|
<td>
|
|
<p><u><b>Limit:Burst</b></u></p>
|
|
</td>
|
|
</tr>
|
|
<tr>
|
|
<td>
|
|
<p>loc</p>
|
|
</td>
|
|
<td>
|
|
<p>net</p>
|
|
</td>
|
|
<td>
|
|
<p>ACCEPT</p>
|
|
</td>
|
|
<td>
|
|
<p> </p>
|
|
</td>
|
|
<td>
|
|
<p> </p>
|
|
</td>
|
|
</tr>
|
|
<tr>
|
|
<td>
|
|
<p>net</p>
|
|
</td>
|
|
<td>
|
|
<p>all</p>
|
|
</td>
|
|
<td>
|
|
<p>DROP</p>
|
|
</td>
|
|
<td>
|
|
<p>info</p>
|
|
</td>
|
|
<td>
|
|
<p> </p>
|
|
</td>
|
|
</tr>
|
|
<tr>
|
|
<td>
|
|
<p>all</p>
|
|
</td>
|
|
<td>
|
|
<p>all</p>
|
|
</td>
|
|
<td>
|
|
<p>REJECT</p>
|
|
</td>
|
|
<td>
|
|
<p>info</p>
|
|
</td>
|
|
<td>
|
|
<p> </p>
|
|
</td>
|
|
</tr>
|
|
</tbody>
|
|
</table>
|
|
</dd>
|
|
</dl>
|
|
<blockquote>Dans le fichier d'exemple (two-interface), la ligne
|
|
suivante
|
|
est inclue mais elle est commentée. Si vous voulez que votre
|
|
firewall
|
|
puisse avoir un accès complet aux serveurs sur Internet,
|
|
décommentez la ligne.</blockquote>
|
|
<a name="AutoNumber31"></a>
|
|
<dl>
|
|
<dd>
|
|
<table border="1" cellpadding="2" cellspacing="2">
|
|
<tbody>
|
|
<tr>
|
|
<td>
|
|
<p><u><b>Source Zone</b></u></p>
|
|
</td>
|
|
<td>
|
|
<p><u><b>Destination Zone</b></u></p>
|
|
</td>
|
|
<td>
|
|
<p><u><b>Policy</b></u></p>
|
|
</td>
|
|
<td>
|
|
<p><u><b>Log Level</b></u></p>
|
|
</td>
|
|
<td>
|
|
<p><u><b>Limit:Burst</b></u></p>
|
|
</td>
|
|
</tr>
|
|
<tr>
|
|
<td>
|
|
<p>fw</p>
|
|
</td>
|
|
<td>
|
|
<p>net</p>
|
|
</td>
|
|
<td>
|
|
<p>ACCEPT</p>
|
|
</td>
|
|
<td>
|
|
<p> </p>
|
|
</td>
|
|
<td>
|
|
<p> </p>
|
|
</td>
|
|
</tr>
|
|
</tbody>
|
|
</table>
|
|
</dd>
|
|
</dl>
|
|
<p>Ces politiques vont:</p>
|
|
<ol>
|
|
<li>
|
|
<p style="margin-bottom: 0cm;">permettre toutes les demandes de
|
|
connexion depuis votre réseau local vers l'Internet </p>
|
|
</li>
|
|
<li>
|
|
<p style="margin-bottom: 0cm;">drop (ou ignorer) toutes les
|
|
demandes de connexion depuis l'Internet vers votre firewall ou votre
|
|
réseau local. </p>
|
|
</li>
|
|
<li>
|
|
<p style="margin-bottom: 0cm;">Facultativement accepter toutes
|
|
les demandes de connexion de votre firewall vers l'Internet (si vous
|
|
avez
|
|
dé commenté la politique additionnelle) </p>
|
|
</li>
|
|
<li>
|
|
<p>reject (rejeter) toutes les autres demandes de connexion. </p>
|
|
</li>
|
|
</ol>
|
|
<p><img src="images/BD21298_.gif" name="Image5" align="bottom"
|
|
width="13" height="13" border="0"> A ce point,
|
|
éditez votre fichier /etc/shorewall/policy et faite les
|
|
changements que vous désirez.</p>
|
|
<h2 align="left">Network Interfaces</h2>
|
|
<p align="center"><img src="images/basics.png" name="Image6"
|
|
align="bottom" width="444" height="635" border="0"> </p>
|
|
<p align="left">Le firewall a deux interfaces de réseau. Lorsque
|
|
la connexion Internet passe par le câble ou par un ROUTEUR (pas
|
|
un simple modem) ADSL (non USB), l'interface vers l'extérieur (<i>External
|
|
Interface)</i> sera l'adaptateur sur lequel est connecté le
|
|
routeur
|
|
(e.g., <b>eth0</b>) <u>à moins que</u> vous ne vous
|
|
connectiez
|
|
par <i><u>P</u>oint-to-<u>P</u>oint<u>P</u>rotocol over<u>E</u>thernet</i>
|
|
(PPPoE) ou par <i><u>P</u>oint-to-<u>P</u>oint<u>T</u>unneling<u>P</u>rotocol</i>(PPTP),
|
|
dans ce cas l'interface extérieure sera une interface de type
|
|
ppp (e.g., <b>ppp0</b>). Si vous vous connectez par un simple modem
|
|
(RTC), votre interface extérieure sera aussi <b>ppp0</b>. Si
|
|
votre connexion passe par Numéris (ISDN), votre interface
|
|
extérieure sera<b>ippp0.</b></p>
|
|
<p align="left"><img src="images/BD21298_1.gif" name="Image7"
|
|
align="bottom" width="13" height="13" border="0">
|
|
Si votre interface vers l'extérieur est<b>ppp0</b> ou <b>ippp0</b>
|
|
alors vous mettrez CLAMPMSS=yes dans <a href="Documentation.htm#Conf">/etc/shorewall/shorewall.conf.</a></p>
|
|
<p align="left">Votre <i>Internal Interface</i> (interface vers votre
|
|
réseau local -> LAN) sera un adaptateur Ethernet (eth1 ou
|
|
eth0) et sera connectée à un hub ou switch (ou un PC avec
|
|
un câble croisé).
|
|
Vos autres ordinateurs seront connectés à ce même
|
|
hub/switch</p>
|
|
<p align="left"><b><u><img src="images/j0213519.gif" name="Image8"
|
|
align="bottom" width="60" height="60" border="0"> </u></b>Ne
|
|
connectez pas l'interface interne et externe sur le même hub ou
|
|
switch (même pour tester). Cela ne fonctionnera pas et ne croyez
|
|
pas que ce soit shorewall qui ne marche pas.</p>
|
|
<p align="left"><img src="images/BD21298_.gif" name="Image9"
|
|
align="left" width="13" height="13" border="0"> Le
|
|
fichier de configuration d'exemple pour deux interfaces suppose que
|
|
votre interface externe est <b>eth0</b>et que l'interne est
|
|
<b>eth1</b>. Si votre configuration est différente, vous devrez
|
|
modifier
|
|
le fichier <a href="Documentation.htm#Interfaces">/etc/shorewall/interfaces</a>
|
|
en conséquence. Tant que vous y êtes, vous pourriez
|
|
parcourir
|
|
la liste des options qui sont spécifiées pour les
|
|
interfaces.
|
|
Quelques trucs:</p>
|
|
<ul>
|
|
<li>
|
|
<p align="left">Si votre interface vers l'extérieur est <b>ppp0</b>
|
|
ou <b>ippp0</b>, vous pouvez remplacer le "detect" dans la seconde
|
|
colonne par un "-". </p>
|
|
</li>
|
|
<li>
|
|
<p align="left">Si votre interface vers l'extérieur est <b>ppp0</b>
|
|
ou <b>ippp0</b> ou si vous avez une adresse IP statique, vous pouvez
|
|
enlever "dhcp" dans la liste des options. </p>
|
|
</li>
|
|
</ul>
|
|
<h2 align="left">Adresses IP</h2>
|
|
<p align="left">Avant d'aller plus loin, nous devons dire quelques mots
|
|
au sujet de Internet Protocol (IP) <i>addresses</i>. Normalement,
|
|
votre fournisseur Internet (ISP) vous assignera une seule adresse IP
|
|
(single <i>Public</i>IP address). Cette adresse peut être
|
|
assignée par le Dynamic<i> Host Configuration Protocol</i>(DHCP)
|
|
ou lors de l'établissement de
|
|
votre connexion lorsque vous vous connectez (modem standard) ou
|
|
établissez votre connexion PPP. Dans de rares cas , votre
|
|
provider peut vous assigner une adresse statique<i> (static</i>IP
|
|
address); cela signifie que vous devez configurer l'interface externe
|
|
de votre firewall afin d'utiliser cette adresse de manière
|
|
permanente. Votre adresse externe assignée, elle va être
|
|
partagée par tous vos systèmes lors de l'accès
|
|
à Internet. Vous devrez assigner vos propres adresses dans votre
|
|
réseau
|
|
local (votre interface interne sur le firewall ainsi que les
|
|
autres
|
|
ordinateurs). La RFC 1918 réserve plusieurs plages d'IP (<i>Private</i>IP
|
|
address ranges) à cette fin :</p>
|
|
<pre style="text-align: left;"> 10.0.0.0 - 10.255.255.255an<br> 172.16.0.0 - 172.31.255.255<br> 192.168.0.0 - 192.168.255.255</pre>
|
|
<p align="left"><img src="images/BD21298_.gif" name="Image10"
|
|
align="bottom" width="13" height="13" border="0">
|
|
Avant de lancer Shorewall, vous devriez regarder l'adresse IP de votre
|
|
interface externe, et si elle est dans les plages
|
|
précédentes, vous devriez enlever l'option 'norfc1918'
|
|
dans la ligne concernant l'interface externe dans le fichier
|
|
/etc/shorewall/interfaces.</p>
|
|
<p align="left">Vous devrez assigner vos adresses depuis le même
|
|
sous-réseau (<i>sub-network/subnet)</i>. Pour ce faire, nous
|
|
pouvons considérer un sous-réseau dans une plage
|
|
d'adresses x.y.z.0 - x.y.z.255. Chaque sous-réseau aura un
|
|
masque (<i>Subnet Mask) </i>de 255.255.255.0.
|
|
L'adresse x.y.z.0 est réservée comme l'adresse de
|
|
sous-réseau
|
|
(<i>Subnet Address) </i>et x.y.z.255 est réservée en
|
|
tant qu'adresse
|
|
de broadcast (<i>Subnet Broadcast</i> <i>Address)</i>. Dans Shorewall,
|
|
un
|
|
sous-réseau est décrit en utilisant <a
|
|
href="shorewall_setup_guide.htm#Subnets"><i>la notation Classless
|
|
InterDomain Routing </i>(CIDR)</a> qui consiste en l'adresse du
|
|
sous-réseau suivie par "/24". Le "24" se réfère au
|
|
nombre consécutif de bits marquant "1" dans la partie gauche du
|
|
masque de sous-réseau.</p>
|
|
<p align="left">Un exemple de sous-réseau (sub-network) :</p>
|
|
<a name="AutoNumber1"></a>
|
|
<dl>
|
|
<dd>
|
|
<table border="1" cellpadding="2" cellspacing="2">
|
|
<tbody>
|
|
<tr>
|
|
<td>
|
|
<p><b>Plage:</b></p>
|
|
</td>
|
|
<td>
|
|
<p>10.10.10.0 - 10.10.10.255</p>
|
|
</td>
|
|
</tr>
|
|
<tr>
|
|
<td>
|
|
<p><b>Subnet Address:</b></p>
|
|
</td>
|
|
<td>
|
|
<p>10.10.10.0</p>
|
|
</td>
|
|
</tr>
|
|
<tr>
|
|
<td>
|
|
<p><b>Broadcast Address:</b></p>
|
|
</td>
|
|
<td>
|
|
<p>10.10.10.255</p>
|
|
</td>
|
|
</tr>
|
|
<tr>
|
|
<td>
|
|
<p><b>CIDR Notation:</b></p>
|
|
</td>
|
|
<td>
|
|
<p>10.10.10.0/24</p>
|
|
</td>
|
|
</tr>
|
|
</tbody>
|
|
</table>
|
|
</dd>
|
|
</dl>
|
|
<p align="left">Il est de mise d'assigner l'interface interne (LAN)
|
|
à la première adresse utilisable du sous-réseau
|
|
(10.10.10.1
|
|
dans l'exemple précédent) ou la dernière adresse
|
|
utilisable (10.10.10.254).</p>
|
|
<p align="left">L'un des buts d'un sous-réseau est de permettre
|
|
à tous les ordinateurs dans le sous-réseau de savoir avec
|
|
quels autres ordinateurs ils peuvent communiquer directement. Pour
|
|
communiquer avec des systèmes en dehors du sous-réseau,
|
|
les ordinateurs envoient des paquets à travers le gateway
|
|
(routeur).</p>
|
|
<p align="left"><img src="images/BD21298_1.gif" name="Image11"
|
|
align="bottom" width="13" height="13" border="0">
|
|
Vos ordinateurs en local (ordinateur 1 et ordinateur 2 dans le
|
|
diagramme) devraient être configurés avec leur passerelle
|
|
par défaut<i> (default gateway</i>) pointant sur l'adresse IP de
|
|
l'interface
|
|
interne du firewall.</p>
|
|
<p align="left">The foregoing short discussion barely scratches the
|
|
surface regarding subnetting and routing. If you are interested in
|
|
learning more
|
|
about IP addressing and routing, I highly recommend <i>"IP
|
|
Fundamentals:
|
|
What Everyone Needs to Know about Addressing & Routing",</i> Thomas
|
|
A.
|
|
Maufer, Prentice-Hall, 1999, ISBN 0-13-975483-0.</p>
|
|
<p align="left">Le reste de ce guide assumera que vous avez
|
|
configuré votre réseau comme montré ci-dessous :</p>
|
|
<p align="center"><img src="images/basics1.png" name="Image12"
|
|
align="bottom" width="444" height="635" border="0"> </p>
|
|
<p align="left">La passerelle par défaut pour les ordinateurs 1
|
|
et 2 devrait être 10.10.10.254.</p>
|
|
<h2 align="left">IP Masquerading (SNAT)</h2>
|
|
<p align="left">Les adresses réservées par la RFC 1918
|
|
sont parfois désignées comme <i>non-routables</i> car
|
|
les routeurs Internet (backbone) ne font pas circuler les paquets qui
|
|
ont une adresse
|
|
de destination appartenant à la RFC-1918. Lorsqu'un de vos
|
|
systèmes en local (supposons l'ordinateur1) demande une
|
|
connexion à un serveur par Internet, le firewall doit appliquer
|
|
un NAT<i> (Network Address Translation)</i>. Le firewall ré
|
|
écrit l'adresse source dans le paquet, et l'a remplace par
|
|
l'adresse de l'interface externe du firewall; en d'autres mots, le
|
|
firewall fait croire que c'est lui même qui initie la connexion.
|
|
Ceci est nécessaire afin que l'hôte de destination soit
|
|
capable de renvoyer les paquets au firewall (souvenez vous que les
|
|
paquets qui ont pour adresse de destination, une adresse
|
|
réservée par la RFC 1918 ne pourront pas être
|
|
routés à travers Internet,
|
|
donc l'hôte Internet ne pourra adresser sa réponse
|
|
à
|
|
l'ordinateur 1). Lorsque le firewall reçoit le paquet de
|
|
réponse,
|
|
il remet l'adresse de destination à 10.10.10.1 et fait passer le
|
|
paquet
|
|
vers l'ordinateur 1. </p>
|
|
<p align="left">Sur les systèmes Linux, ce procédé
|
|
est souvent appelé de l'<i>IP Masquerading</i> mais vous verrez
|
|
aussi
|
|
le terme de <i>Source Network Address Translation </i>(SNAT)
|
|
utilisé. Shorewall suit la convention utilisée avec
|
|
Netfilter:</p>
|
|
<ul>
|
|
<li>
|
|
<p align="left"><i>Masquerade</i> désigne le cas ou vous
|
|
laissez votre firewall détecter automatiquement l'adresse de
|
|
l'interface
|
|
externe. </p>
|
|
</li>
|
|
<li>
|
|
<p align="left"><i>SNAT</i> désigne le cas où vous
|
|
spécifiez explicitement l'adresse source des paquets sortant de
|
|
votre réseau local. </p>
|
|
</li>
|
|
</ul>
|
|
<p align="left">Sous Shorewall, autant le Masquerading que le SNAT sont
|
|
configuré avec des entrés dans le fichier
|
|
/etc/shorewall/masq. Vous utiliserez normalement le Masquerading si
|
|
votre adresse IP externe est dynamique, et SNAT si elle est statique.</p>
|
|
<p align="left"><img src="images/BD21298_.gif" name="Image13"
|
|
align="bottom" width="13" height="13" border="0">
|
|
Si votre interface externe du firewall est <b>eth0</b>, vous n'avez
|
|
pas besoin de modifier le fichier fourni avec l'exemple. Dans le cas
|
|
contraire, éditez /etc/shorewall/masq et changez la
|
|
première colonne par le nom de votre interface externe, et la
|
|
seconde colonne par
|
|
le nom de votre interface interne.</p>
|
|
<p align="left"><img src="images/BD21298_.gif" name="Image14"
|
|
align="bottom" width="13" height="13" border="0">
|
|
Si votre IP externe est statique, vous pouvez la mettre dans la
|
|
troisième colonne dans /etc/shorewall/masq si vous le
|
|
désirez, de toutes façons votre firewall fonctionnera
|
|
bien si vous laissez
|
|
cette colonne vide. Le fait de mettre votre IP statique dans la
|
|
troisième colonne permet un traitement des paquets sortant un
|
|
peu plus efficace.<br>
|
|
<br>
|
|
<img src="images/BD21298_.gif" name="Image15" align="bottom" width="13"
|
|
height="13" border="0"> Si vous utilisez les
|
|
paquets Debian, vérifiez que votre fichier de configuration
|
|
shorewall.conf contient bien les valeurs suivantes, si elles n'y sont
|
|
pas faite les changements nécessaires:</p>
|
|
<ul>
|
|
<li>
|
|
<p style="margin-bottom: 0cm;">NAT_ENABLED=Yes </p>
|
|
</li>
|
|
<li>
|
|
<p>IP_FORWARDING=On</p>
|
|
</li>
|
|
</ul>
|
|
<h2 align="left">Port Forwarding (DNAT)</h2>
|
|
<p align="left">Un de nos buts est de , peut être, faire tourner
|
|
un ou plusieurs serveurs sur nos ordinateurs locaux. Parce que ces
|
|
ordinateurs on une adresse RFC-1918, il n' est pas possible pour les
|
|
clients sur Internet de se connecter directement à eux. Il est
|
|
nécessaire à ces clients d'adresser leurs demandes de
|
|
connexion au firewall qui ré écrit l'adresse de
|
|
destination de votre serveur, et fait passer le paquet à
|
|
celui-ci. Lorsque votre serveur répond, le firewall applique
|
|
automatiquement un SNAT pour ré écrire l'adresse
|
|
source dans la réponse.</p>
|
|
<p align="left">Ce procédé est appelé<i> Port
|
|
Forwarding</i> ou <i>Destination Network Address Translation</i>(DNAT).
|
|
Vous configurez
|
|
le port forwarding en utilisant les règles DNAT dans le fichier
|
|
/etc/shorewall/rules.</p>
|
|
<p>La forme générale d'une simple règle de port
|
|
forwarding dans /etc/shorewall/rules est:</p>
|
|
<a name="AutoNumber4"></a>
|
|
<dl>
|
|
<dd>
|
|
<table border="1" cellpadding="2" cellspacing="2">
|
|
<tbody>
|
|
<tr>
|
|
<td>
|
|
<p><u><b>ACTION</b></u></p>
|
|
</td>
|
|
<td>
|
|
<p><u><b>SOURCE</b></u></p>
|
|
</td>
|
|
<td>
|
|
<p><u><b>DESTINATION</b></u></p>
|
|
</td>
|
|
<td>
|
|
<p><u><b>PROTOCOL</b></u></p>
|
|
</td>
|
|
<td>
|
|
<p><u><b>PORT</b></u></p>
|
|
</td>
|
|
<td>
|
|
<p><u><b>SOURCE PORT</b></u></p>
|
|
</td>
|
|
<td>
|
|
<p><u><b>ORIGINAL ADDRESS</b></u></p>
|
|
</td>
|
|
</tr>
|
|
<tr>
|
|
<td>
|
|
<p>DNAT</p>
|
|
</td>
|
|
<td>
|
|
<p>net</p>
|
|
</td>
|
|
<td>
|
|
<p>loc:<i><server local ip address> </i>[:<i><server
|
|
port></i>]</p>
|
|
</td>
|
|
<td>
|
|
<p><i><protocol></i></p>
|
|
</td>
|
|
<td>
|
|
<p><i><port></i></p>
|
|
</td>
|
|
<td>
|
|
<p> </p>
|
|
</td>
|
|
<td>
|
|
<p> </p>
|
|
</td>
|
|
</tr>
|
|
</tbody>
|
|
</table>
|
|
</dd>
|
|
</dl>
|
|
<p>Exemple - vous faites tourner un serveur Web sur l'ordinateur 2 et
|
|
vous voulez faire passer les requêtes TCP sur le port 80 à
|
|
ce système :</p>
|
|
<a name="AutoNumber41"></a>
|
|
<dl>
|
|
<dd>
|
|
<table border="1" cellpadding="2" cellspacing="2">
|
|
<tbody>
|
|
<tr>
|
|
<td>
|
|
<p><u><b>ACTION</b></u></p>
|
|
</td>
|
|
<td>
|
|
<p><u><b>SOURCE</b></u></p>
|
|
</td>
|
|
<td>
|
|
<p><u><b>DESTINATION</b></u></p>
|
|
</td>
|
|
<td>
|
|
<p><u><b>PROTOCOL</b></u></p>
|
|
</td>
|
|
<td>
|
|
<p><u><b>PORT</b></u></p>
|
|
</td>
|
|
<td>
|
|
<p><u><b>SOURCE PORT</b></u></p>
|
|
</td>
|
|
<td>
|
|
<p><u><b>ORIGINAL ADDRESS</b></u></p>
|
|
</td>
|
|
</tr>
|
|
<tr>
|
|
<td>
|
|
<p>DNAT</p>
|
|
</td>
|
|
<td>
|
|
<p>net</p>
|
|
</td>
|
|
<td>
|
|
<p>loc:10.10.10.2</p>
|
|
</td>
|
|
<td>
|
|
<p>tcp</p>
|
|
</td>
|
|
<td>
|
|
<p>80</p>
|
|
</td>
|
|
<td>
|
|
<p> </p>
|
|
</td>
|
|
<td>
|
|
<p> </p>
|
|
</td>
|
|
</tr>
|
|
</tbody>
|
|
</table>
|
|
</dd>
|
|
</dl>
|
|
<p>Deux points importants à garder en mémoire :</p>
|
|
<ul>
|
|
<li>
|
|
<p style="margin-bottom: 0cm;">Vous devez tester la règle
|
|
précédente depuis un client à l'extérieur
|
|
de votre réseau local (c.a.d., ne pas tester depuis un
|
|
navigateur tournant sur l'ordinateur 1
|
|
ou 2 ou sur le firewall). Si vous voulez avoir la possibilité
|
|
d'accéder à votre serveur web en utilisant l'adresse IP
|
|
externe de votre firewall, regardez <a href="FAQ.htm#faq2">Shorewall
|
|
FAQ #2</a>. </p>
|
|
</li>
|
|
<li>
|
|
<p>Quelques fournisseurs Internet (Provider/ISP) bloquent les
|
|
requêtes entrantes de connexion sur le port 80. Si vous avez des
|
|
problèmes à vous connecter à votre serveur web,
|
|
essayez la règle suivante et connectez vous sur le port 5000. </p>
|
|
</li>
|
|
</ul>
|
|
<a name="AutoNumber42"></a>
|
|
<dl>
|
|
<dd>
|
|
<table border="1" cellpadding="2" cellspacing="2">
|
|
<tbody>
|
|
<tr>
|
|
<td>
|
|
<p><u><b>ACTION</b></u></p>
|
|
</td>
|
|
<td>
|
|
<p><u><b>SOURCE</b></u></p>
|
|
</td>
|
|
<td>
|
|
<p><u><b>DESTINATION</b></u></p>
|
|
</td>
|
|
<td>
|
|
<p><u><b>PROTOCOL</b></u></p>
|
|
</td>
|
|
<td>
|
|
<p><u><b>PORT</b></u></p>
|
|
</td>
|
|
<td>
|
|
<p><u><b>SOURCE PORT</b></u></p>
|
|
</td>
|
|
<td>
|
|
<p><u><b>ORIGINAL ADDRESS</b></u></p>
|
|
</td>
|
|
</tr>
|
|
<tr>
|
|
<td>
|
|
<p>DNAT</p>
|
|
</td>
|
|
<td>
|
|
<p>net</p>
|
|
</td>
|
|
<td>
|
|
<p>loc:10.10.10.2:80</p>
|
|
</td>
|
|
<td>
|
|
<p>tcp</p>
|
|
</td>
|
|
<td>
|
|
<p>5000</p>
|
|
</td>
|
|
<td>
|
|
<p> </p>
|
|
</td>
|
|
<td>
|
|
<p> </p>
|
|
</td>
|
|
</tr>
|
|
</tbody>
|
|
</table>
|
|
</dd>
|
|
</dl>
|
|
<p><img src="images/BD21298_.gif" name="Image16" align="bottom"
|
|
width="13" height="13" border="0"> A ce point,
|
|
modifiez /etc/shorewall/rules pour ajouter les règles DNAT dont
|
|
vous avez besoin.</p>
|
|
<h2 align="left">Domain Name Server (DNS)</h2>
|
|
<p align="left">Normalement, quand vous vous connectez à votre
|
|
fournisseur (ISP), une partie consiste à obtenir votre adresse
|
|
IP, votre DNS
|
|
pour le firewall (<i>Domain Name Service) </i>est configuré
|
|
automatiquement (c.a.d.,le fichier /etc/resolv.conf a été
|
|
écrit). Il arrive que votre provider vous donne une paire
|
|
d'adresse IP pour les DNS<i> (name servers)</i> afin que vous
|
|
configuriez manuellement votre serveur
|
|
de nom primaire et secondaire. La manière dont le DNS est
|
|
configuré sur votre firewall est de <u>votre</u>
|
|
responsabilité. Vous pouvez procéder d'une de ses deux
|
|
façons :</p>
|
|
<ul>
|
|
<li>
|
|
<p align="left">Vous pouvez configurer votre système interne
|
|
pour utiliser les noms de serveurs de votre provider. Si votre
|
|
fournisseur
|
|
vous donne les adresses de leurs serveurs ou si ces adresses sont
|
|
disponibles sur leur site web, vous pouvez configurer votre
|
|
système interne
|
|
afin de les utiliser. Si cette information n' est pas disponible,
|
|
regardez
|
|
dans /etc/resolv.conf sur votre firewall -- les noms des serveurs sont
|
|
donnés dans l'enregistrement "nameserver" dans ce fichier. </p>
|
|
</li>
|
|
<li>
|
|
<p align="left"><img src="images/BD21298_.gif" name="Image17"
|
|
align="bottom" width="13" height="13" border="0">
|
|
Vous pouvez configurer un cache dns<i> (Caching Name Server) </i>sur
|
|
votre firewall.<i> </i>Red Hat a un RPM pour mettre en
|
|
cache un serveur de nom (le RPM requis aussi le RPM 'bind') et pour les
|
|
utilisateurs de Bering, il y a dnscache.lrp. Si vous adoptez cette
|
|
approche,
|
|
vous configurez votre système interne pour utiliser le firewall
|
|
lui même comme étant le seul serveur de nom primaire. Vous
|
|
pouvez utiliser l'adresse IP interne du firewall (10.10.10.254 dans
|
|
l'exemple)
|
|
pour l'adresse de serveur de nom. Pour permettre à vos
|
|
systèmes
|
|
locaux de discuter avec votre serveur cache de nom, vous devez ouvrir
|
|
le
|
|
port 53 (UDP ET TCP) sur le firewall vers le réseau local;
|
|
vous ferez ceci en ajoutant les règles suivantes dans
|
|
/etc/shorewall/rules. </p>
|
|
</li>
|
|
</ul>
|
|
<a name="AutoNumber43"></a>
|
|
<dl>
|
|
<dd>
|
|
<table border="1" cellpadding="2" cellspacing="2">
|
|
<tbody>
|
|
<tr>
|
|
<td>
|
|
<p><u><b>ACTION</b></u></p>
|
|
</td>
|
|
<td>
|
|
<p><u><b>SOURCE</b></u></p>
|
|
</td>
|
|
<td>
|
|
<p><u><b>DESTINATION</b></u></p>
|
|
</td>
|
|
<td>
|
|
<p><u><b>PROTOCOL</b></u></p>
|
|
</td>
|
|
<td>
|
|
<p><u><b>PORT</b></u></p>
|
|
</td>
|
|
<td>
|
|
<p><u><b>SOURCE PORT</b></u></p>
|
|
</td>
|
|
<td>
|
|
<p><u><b>ORIGINAL ADDRESS</b></u></p>
|
|
</td>
|
|
</tr>
|
|
<tr>
|
|
<td>
|
|
<p>ACCEPT</p>
|
|
</td>
|
|
<td>
|
|
<p>loc</p>
|
|
</td>
|
|
<td>
|
|
<p>fw</p>
|
|
</td>
|
|
<td>
|
|
<p>tcp</p>
|
|
</td>
|
|
<td>
|
|
<p>53</p>
|
|
</td>
|
|
<td>
|
|
<p> </p>
|
|
</td>
|
|
<td>
|
|
<p> </p>
|
|
</td>
|
|
</tr>
|
|
<tr>
|
|
<td>
|
|
<p>ACCEPT</p>
|
|
</td>
|
|
<td>
|
|
<p>loc</p>
|
|
</td>
|
|
<td>
|
|
<p>fw</p>
|
|
</td>
|
|
<td>
|
|
<p>udp</p>
|
|
</td>
|
|
<td>
|
|
<p>53</p>
|
|
</td>
|
|
<td>
|
|
<p> </p>
|
|
</td>
|
|
<td>
|
|
<p> </p>
|
|
</td>
|
|
</tr>
|
|
</tbody>
|
|
</table>
|
|
</dd>
|
|
</dl>
|
|
<h2 align="left">Autres Connexions</h2>
|
|
<p align="left">Les fichiers exemples inclus dans l'archive
|
|
(two-interface) contiennent les règles suivantes :</p>
|
|
<a name="AutoNumber44"></a>
|
|
<dl>
|
|
<dd>
|
|
<table border="1" cellpadding="2" cellspacing="2">
|
|
<tbody>
|
|
<tr>
|
|
<td>
|
|
<p><u><b>ACTION</b></u></p>
|
|
</td>
|
|
<td>
|
|
<p><u><b>SOURCE</b></u></p>
|
|
</td>
|
|
<td>
|
|
<p><u><b>DESTINATION</b></u></p>
|
|
</td>
|
|
<td>
|
|
<p><u><b>PROTOCOL</b></u></p>
|
|
</td>
|
|
<td>
|
|
<p><u><b>PORT</b></u></p>
|
|
</td>
|
|
<td>
|
|
<p><u><b>SOURCE PORT</b></u></p>
|
|
</td>
|
|
<td>
|
|
<p><u><b>ORIGINAL ADDRESS</b></u></p>
|
|
</td>
|
|
</tr>
|
|
<tr>
|
|
<td>
|
|
<p>ACCEPT</p>
|
|
</td>
|
|
<td>
|
|
<p>fw</p>
|
|
</td>
|
|
<td>
|
|
<p>net</p>
|
|
</td>
|
|
<td>
|
|
<p>tcp</p>
|
|
</td>
|
|
<td>
|
|
<p>53</p>
|
|
</td>
|
|
<td>
|
|
<p> </p>
|
|
</td>
|
|
<td>
|
|
<p> </p>
|
|
</td>
|
|
</tr>
|
|
<tr>
|
|
<td>
|
|
<p>ACCEPT</p>
|
|
</td>
|
|
<td>
|
|
<p>fw</p>
|
|
</td>
|
|
<td>
|
|
<p>net</p>
|
|
</td>
|
|
<td>
|
|
<p>udp</p>
|
|
</td>
|
|
<td>
|
|
<p>53</p>
|
|
</td>
|
|
<td>
|
|
<p> </p>
|
|
</td>
|
|
<td>
|
|
<p> </p>
|
|
</td>
|
|
</tr>
|
|
</tbody>
|
|
</table>
|
|
</dd>
|
|
</dl>
|
|
<p align="left">Ces règles autorisent l'accès DNS
|
|
à
|
|
partir de votre firewall et peuvent être enlevées si vous
|
|
avez
|
|
dé commenté la ligne dans /etc/shorewall/policy
|
|
autorisant
|
|
toutes les connexions depuis le firewall vers Internet.</p>
|
|
<p align="left">Les exemples contiennent aussi :</p>
|
|
<a name="AutoNumber45"></a>
|
|
<dl>
|
|
<dd>
|
|
<table border="1" cellpadding="2" cellspacing="2">
|
|
<tbody>
|
|
<tr>
|
|
<td>
|
|
<p><u><b>ACTION</b></u></p>
|
|
</td>
|
|
<td>
|
|
<p><u><b>SOURCE</b></u></p>
|
|
</td>
|
|
<td>
|
|
<p><u><b>DESTINATION</b></u></p>
|
|
</td>
|
|
<td>
|
|
<p><u><b>PROTOCOL</b></u></p>
|
|
</td>
|
|
<td>
|
|
<p><u><b>PORT</b></u></p>
|
|
</td>
|
|
<td>
|
|
<p><u><b>SOURCE PORT</b></u></p>
|
|
</td>
|
|
<td>
|
|
<p><u><b>ORIGINAL ADDRESS</b></u></p>
|
|
</td>
|
|
</tr>
|
|
<tr>
|
|
<td>
|
|
<p>ACCEPT</p>
|
|
</td>
|
|
<td>
|
|
<p>loc</p>
|
|
</td>
|
|
<td>
|
|
<p>fw</p>
|
|
</td>
|
|
<td>
|
|
<p>tcp</p>
|
|
</td>
|
|
<td>
|
|
<p>22</p>
|
|
</td>
|
|
<td>
|
|
<p> </p>
|
|
</td>
|
|
<td>
|
|
<p> </p>
|
|
</td>
|
|
</tr>
|
|
</tbody>
|
|
</table>
|
|
</dd>
|
|
</dl>
|
|
<p align="left">Cette règle vous autorise à faire tourner
|
|
un serveur SSH sur votre firewall et à vous y connecter depuis
|
|
votre
|
|
réseau local.</p>
|
|
<p align="left">Si vous voulez permettre d'autres connexions entre
|
|
votre
|
|
firewall et d'autres systèmes, la forme générale
|
|
est
|
|
:</p>
|
|
<a name="AutoNumber46"></a>
|
|
<dl>
|
|
<dd>
|
|
<table border="1" cellpadding="2" cellspacing="2">
|
|
<tbody>
|
|
<tr>
|
|
<td>
|
|
<p><u><b>ACTION</b></u></p>
|
|
</td>
|
|
<td>
|
|
<p><u><b>SOURCE</b></u></p>
|
|
</td>
|
|
<td>
|
|
<p><u><b>DESTINATION</b></u></p>
|
|
</td>
|
|
<td>
|
|
<p><u><b>PROTOCOL</b></u></p>
|
|
</td>
|
|
<td>
|
|
<p><u><b>PORT</b></u></p>
|
|
</td>
|
|
<td>
|
|
<p><u><b>SOURCE PORT</b></u></p>
|
|
</td>
|
|
<td>
|
|
<p><u><b>ORIGINAL ADDRESS</b></u></p>
|
|
</td>
|
|
</tr>
|
|
<tr>
|
|
<td>
|
|
<p>ACCEPT</p>
|
|
</td>
|
|
<td>
|
|
<p><i><source zone></i></p>
|
|
</td>
|
|
<td>
|
|
<p><i><destination zone></i></p>
|
|
</td>
|
|
<td>
|
|
<p><i><protocol></i></p>
|
|
</td>
|
|
<td>
|
|
<p><i><port></i></p>
|
|
</td>
|
|
<td>
|
|
<p> </p>
|
|
</td>
|
|
<td>
|
|
<p> </p>
|
|
</td>
|
|
</tr>
|
|
</tbody>
|
|
</table>
|
|
</dd>
|
|
</dl>
|
|
<p align="left">Exemple - Vous voulez faire tourner un serveur Web sur
|
|
votre firewall :</p>
|
|
<a name="AutoNumber47"></a>
|
|
<dl>
|
|
<dd>
|
|
<table border="1" cellpadding="2" cellspacing="2">
|
|
<tbody>
|
|
<tr>
|
|
<td>
|
|
<p><u><b>ACTION</b></u></p>
|
|
</td>
|
|
<td>
|
|
<p><u><b>SOURCE</b></u></p>
|
|
</td>
|
|
<td>
|
|
<p><u><b>DESTINATION</b></u></p>
|
|
</td>
|
|
<td>
|
|
<p><u><b>PROTOCOL</b></u></p>
|
|
</td>
|
|
<td>
|
|
<p><u><b>PORT</b></u></p>
|
|
</td>
|
|
<td>
|
|
<p><u><b>SOURCE PORT</b></u></p>
|
|
</td>
|
|
<td>
|
|
<p><u><b>ORIGINAL ADDRESS</b></u></p>
|
|
</td>
|
|
</tr>
|
|
<tr>
|
|
<td>
|
|
<p>ACCEPT</p>
|
|
</td>
|
|
<td>
|
|
<p>net</p>
|
|
</td>
|
|
<td>
|
|
<p>fw</p>
|
|
</td>
|
|
<td>
|
|
<p>tcp</p>
|
|
</td>
|
|
<td>
|
|
<p>80</p>
|
|
</td>
|
|
<td>
|
|
<p>#Permet l'accès Web</p>
|
|
</td>
|
|
<td>
|
|
<p>depuis Internet</p>
|
|
</td>
|
|
</tr>
|
|
<tr>
|
|
<td>
|
|
<p>ACCEPT</p>
|
|
</td>
|
|
<td>
|
|
<p>loc</p>
|
|
</td>
|
|
<td>
|
|
<p>fw</p>
|
|
</td>
|
|
<td>
|
|
<p>tcp</p>
|
|
</td>
|
|
<td>
|
|
<p>80</p>
|
|
</td>
|
|
<td>
|
|
<p>#Permet l'accès Web</p>
|
|
<br>
|
|
</td>
|
|
<td>
|
|
<p>depuis Internet</p>
|
|
</td>
|
|
</tr>
|
|
</tbody>
|
|
</table>
|
|
</dd>
|
|
</dl>
|
|
<p align="left">Ces deux règles bien sûr viennent
|
|
s'ajouter
|
|
aux règles décrites précédemment dans "Vous
|
|
pouvez configurer un cache dns<i> (Caching Name Server) </i>sur votre
|
|
firewall"</p>
|
|
<p align="left">Si vous ne savez pas quel port et quel protocole une
|
|
application particulière utilise, regardez <a href="ports.htm">ici</a>.</p>
|
|
<p align="left"><b>Important: </b>Je ne vous recommande pas de
|
|
permettre
|
|
le telnet depuis ou vers Internet car il utilise du texte en clair
|
|
(même pour le login et le mot de passe!). Si vous voulez un
|
|
accès au shell sur votre firewall depuis Internet, utilisez SSH :</p>
|
|
<a name="AutoNumber48"></a>
|
|
<dl>
|
|
<dd>
|
|
<table border="1" cellpadding="2" cellspacing="2">
|
|
<tbody>
|
|
<tr>
|
|
<td>
|
|
<p><u><b>ACTION</b></u></p>
|
|
</td>
|
|
<td>
|
|
<p><u><b>SOURCE</b></u></p>
|
|
</td>
|
|
<td>
|
|
<p><u><b>DESTINATION</b></u></p>
|
|
</td>
|
|
<td>
|
|
<p><u><b>PROTOCOL</b></u></p>
|
|
</td>
|
|
<td>
|
|
<p><u><b>PORT</b></u></p>
|
|
</td>
|
|
<td>
|
|
<p><u><b>SOURCE PORT</b></u></p>
|
|
</td>
|
|
<td>
|
|
<p><u><b>ORIGINAL ADDRESS</b></u></p>
|
|
</td>
|
|
</tr>
|
|
<tr>
|
|
<td>
|
|
<p>ACCEPT</p>
|
|
</td>
|
|
<td>
|
|
<p>net</p>
|
|
</td>
|
|
<td>
|
|
<p>fw</p>
|
|
</td>
|
|
<td>
|
|
<p>tcp</p>
|
|
</td>
|
|
<td>
|
|
<p>22</p>
|
|
</td>
|
|
<td>
|
|
<p> </p>
|
|
</td>
|
|
<td>
|
|
<p> </p>
|
|
</td>
|
|
</tr>
|
|
</tbody>
|
|
</table>
|
|
</dd>
|
|
</dl>
|
|
<p align="left"><img src="images/BD21298_.gif" name="Image18"
|
|
align="bottom" width="13" height="13" border="0">
|
|
Maintenant éditez votre fichier /etc/shorewall/rules pour
|
|
ajouter ou supprimer les connexions voulues.</p>
|
|
<h2 align="left">Lancer et Arrêter votre Firewall</h2>
|
|
<p align="left"><img src="images/BD21298_2.gif" name="Image19"
|
|
alt="Arrow" align="bottom" width="13" height="13" border="0">
|
|
La <a href="Install.htm">procédure
|
|
d'installation</a> configure votre système pour lancer Shorewall
|
|
au boot du système, mais pour les débutants sous
|
|
Shorewall version 1.3.9, le lancement est désactivé tant
|
|
que la configuration n' est pas finie.
|
|
Une fois la configuration de votre firewall achevée, vous pouvez
|
|
permettre le lancement de Shorewall en enlevant le fichier
|
|
/etc/shorewall/startup_disabled.</p>
|
|
<p align="left"><font color="#ff0000"><b>IMPORTANT</b>: Les
|
|
utilisateurs
|
|
des paquets .deb doivent éditer /etc/default/shorewall et mettre
|
|
'startup=1'.</font></p>
|
|
<p align="left">Le firewall est lancé en utilisant la commande
|
|
"shorewall start" et stoppé avec "shorewall stop". Lorsque le
|
|
firewall est stoppé, le routage est permis sur les hôtes
|
|
qui sont dans le fichier<a href="Documentation.htm#Routestopped">/etc/shorewall/routestopped</a>.
|
|
Un firewall fonctionnant peut être relancé en utilisant la
|
|
commande "shorewall restart". Si vous voulez enlever toutes les traces
|
|
de Shorewall dans votre configuration de Netfilter, utilisez "shorewall
|
|
clear".</p>
|
|
<p align="left"><img src="images/BD21298_.gif" name="Image20"
|
|
align="bottom" width="13" height="13" border="0">
|
|
Les exemples (two-interface) supposent que vous voulez permettre le
|
|
routage depuis ou vers <b>eth1 </b>(le réseau local)
|
|
lorsque Shorewall est stoppé. Si votre réseau local n'
|
|
est
|
|
pas connecté à <b>eth1</b> ou si vous voulez permettre
|
|
l'accès
|
|
depuis ou vers d'autres hôtes, changez
|
|
/etc/shorewall/routestopped
|
|
en conséquence.</p>
|
|
<p align="left"><b>ATTENTION: </b>Si vous êtes connecté
|
|
à votre firewall depuis Internet, n'essayez pas la commande
|
|
"shorewall stop" tant que vous n'avez pas ajouté une
|
|
entrée pour votre adresse IP depuis laquelle vous êtes
|
|
connecté dans<a href="Documentation.htm#Routestopped">/etc/shorewall/routestopped</a>.
|
|
De plus, je ne vous recommande pas d'utiliser "shorewall restart"; il
|
|
est mieux de créer une <a
|
|
href="configuration_file_basics.htm#Configs"><i>configuration
|
|
alternative</i></a> et de l'essayer en utilisant la commande<a
|
|
href="starting_and_stopping_shorewall.htm">"shorewall try".</a></p>
|
|
<p align="left"><font size="2">Last updated 12/20/2002 - <a
|
|
href="support.htm">Tom Eastep</a></font></p>
|
|
<p align="left"><a href="copyright.htm"><font size="2">Copyright 2002
|
|
Thomas M. Eastep</font></a></p>
|
|
<br>
|
|
<br>
|
|
<br>
|
|
<br>
|
|
<br>
|
|
<br>
|
|
<br>
|
|
<br>
|
|
<br>
|
|
<br>
|
|
</body>
|
|
</html>
|