diff --git a/Shorewall-docs/standalone_fr.xml b/Shorewall-docs/standalone_fr.xml index 310611352..56df4c0d3 100755 --- a/Shorewall-docs/standalone_fr.xml +++ b/Shorewall-docs/standalone_fr.xml @@ -40,7 +40,7 @@ du temps conservés sous leur forme originale et mis entre parenthèses car vous pouvez les retrouver dans le reste des documentations ainsi que dans les fichiers de configuration. N'hésitez pas à me contacter afin - d?améliorer ce document VETSEL + d'améliorer ce document VETSEL Patrice (merci à JMM pour sa relecture et ses commentaires pertinents, ainsi qu'à Tom EASTEP pour son formidable outil et sa disponibilité). @@ -133,14 +133,14 @@ interface, une seule zone est définie : - /etc/shorewall/zones + Zones - ZONE + Zone - DISPLAY + Description diff --git a/Shorewall-docs/three-interface_fr.html b/Shorewall-docs/three-interface_fr.html deleted file mode 100755 index 4165e7db7..000000000 --- a/Shorewall-docs/three-interface_fr.html +++ /dev/null @@ -1,1125 +0,0 @@ - - - - - - - - Three-Interface Firewall - - -

 Three-Interface Firewall

-

Notes du traducteur :
-Je ne prétends pas être un vrai traducteur dans le sens ou mon travail -n?est pas des plus précis (loin de là...). Je ne me suis pas attaché à -une traduction exacte du texte, mais plutôt à en faire une version -française intelligible par tous (et par moi). Les termes techniques -sont la plupart du temps conservés sous leur forme originale et mis -entre parenthèses car vous pouvez les retrouver dans le reste des -documentations ainsi que dans les fichiers de configuration. N?hésitez -pas à me contacter afin d?améliorer ce document VETSEL Patrice (merci à -JMM pour sa relecture et ses commentaires pertinents, ainsi qu'à Tom -EASTEP pour son formidable outil et sa disponibilité).

-


-Mettre en place un système linux en tant que firewall pour un petit -réseau contenant une DMZ est une chose assez simple à réaliser si vous -comprenez les bases et suivez cette documentation.

-

Ce guide ne prétend pas vous mettre au courant de toutes les -possibilités de Shorewall. Il se focalise sur les besoins pour -configurer Shorewall -dans une de ses utilisations les plus populaire :

- -

Voici le schéma d'une installation typique.

-

-

Ce guide suppose que vous avez le paquet iproute/iproute2 -d'installé. -Vous pouvez voir si le paquet est installé en vérifiant la présence du -programme ip sur votre système de firewall. Sous root, utilisez la -commande 'which' pour rechercher le programme :

-
     [root@gateway root]# which ip
     /sbin/ip
     [root@gateway root]#
-

Je vous recommande dans un premier temps de parcourir tout le guide -pour vous familiariser avec ce qu'il va se passer, et de revenir au -début en -effectuant le changements dans votre configuration. Les points où, les -changements -dans la configuration sont recommandées, sont signalés par une

-

Si -vous éditez vos fichiers de configuration sur un système Windows, vous -devez les sauver comme des fichiers Unix si votre éditeur offre cette -option sinon vous devez les faire passer par dos2unix avant d'essayer -de les utiliser. De la même manière, si vous copiez un fichier de -configuration depuis votre disque dur Windows vers une disquette, vous -devez lancer dos2unix sur la copie avant de l'utiliser avec Shorewall.

- -

Les Concepts de Shorewall

-

Les fichiers de configuration pour Shorewall sont situés dans -le répertoire /etc/shorewall -- pour de simples paramétrages, vous -n'avez à faire qu'avec quelques un d'entre eux comme décris dans ce -guide. Après avoir installé Shorewall, téléchargez -la configuration d'exemple three-interface -sample, un-tarez la (tar -zxvf three-interfaces.tgz) et -copiez les fichiers vers /etc/shorewall (Ils remplaceront les fichiers -de même nom déjà existant dans /etc/shorewall installés lors de -l'installation de Shorewall).

-

En même temps que chacun des fichiers est présenté, je vous suggère -de jeter un oeil à ceux qui se trouvent réellement sur votre système -- -chacun des fichiers contient des instructions de configuration -détaillées et des entrées par défaut.

-

Shorewall voit le réseau où il tourne comme composé par un ensemble -de zones. Dans les fichiers de configuration fournis pour trois -interfaces, trois zones sont définies :

-
- - - - - - - - - - - - - - - - - - -
NameDescription
netThe Internet
locVotre réseau local
dmzZone Demilitarisée
-

Les noms de zone sont définis dans /etc/shorewall/zones.

-

Shorewall reconnaît aussi le système de firewall comme sa propre -zone -- par défaut, le firewall lui même est connu en tant que fw.

-

Les règles concernant le trafic à autoriser ou à interdire sont -exprimées en utilisant les termes de zones.

- -

Pour chacune des demandes de connexion entrantes dans le firewall, -les demandes sont en premier lieu comparées par rapport au fichier -/etc/shorewall/rules. Si aucune des règles dans ce fichier ne -correspondent, alors la première politique dans /etc/shorewall/policy -qui y correspond est appliquée. Si -cette politique est REJECT ou DROP la requête est alors comparée par -rapport -aux règles contenues dans /etc/shorewall/common (l'archive d'exemple -vous -fournit ce fichier).

-

Le fichier /etc/shorewall/policy d'exemple contenu dans l'archive -three-interface sample a les politiques suivantes :

-
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
Source ZoneDestination ZonePolicyLog LevelLimit:Burst
locnetACCEPT
-
-
netallDROPinfo
-
allallREJECTinfo
-
-
-
-

Dans l'archive three-interface, la ligne suivante est existante -mais elle est commentée. Si vous souhaitez que votre système de -firewall puisse avoir un accès complet aux serveurs sur Internet, -décommentez la.

- - - - - - - - - - - - - - - - - -
Source ZoneDestination ZonePolicyLog LevelLimit:Burst
fwnetACCEPT
-
-
-
-

Les politiques précédentes vont :

-
    -
  1. permettre toutes demandes de connexion depuis le firewall vers -l'Internet
    2. -
  2. drop (ignorer) toutes les demandes de connexion depuis l'Internet -vers votre firewall ou vers votre réseau local
    3. -
  3. Facultativement accepter toutes les demandes de connexion depuis -votre firewall et vers Internet (si vous decommentez la politique -précédente)
    4. -
  4. reject (rejeter) toutes les autres demandes de connexion.
    5. -
-

A -ce point, éditez votre /etc/shorewall/policy et faites y les -changements que vous désire

-

Les Interfaces Réseau

-

-

Le firewall a trois interfaces de réseau. Lorsque la -connexion Internet passe par le câble ou par un ROUTEUR (pas un simple -modem) ADSL (non USB), l'interface vers l'extérieur (External -Interface) sera l'adaptateur sur lequel est connecté le routeur (e.g., -eth0) à moins que vous ne vous connectiez par Point-to-PointProtocol -overEthernet (PPPoE) ou par Point-to-PointTunneling Protocol (PPTP), -dans ce cas l'interface extérieure sera une interface -de type ppp (e.g., ppp0). Si vous vous connectez par un simple modem -(RTC), votre interface extérieure sera aussi ppp0. Si votre connexion -passe par -Numéris (ISDN), votre interface extérieure sera ippp0.

-

Si votre interface vers l'extérieur est ppp0 ou ippp0 -alors vous mettrez CLAMPMSS=yes dans -/etc/shorewall/shorewall.conf.

-

Votre Interface locale sera un adaptateur -Ethernet (eth0, eth1 ou eth2) et sera connecté à un hub ou un switch. -Vos -ordinateurs locaux seront connectés à ce même switch (note : si vous -n'avez -qu'un seul ordinateur en local, vous pouvez le connecter directement au -firewall par un câble croisé).

-

Votre interface DMZ sera aussi un adaptateur -Ethernet (eth0, eth1 ou eth2) et sera connecté à un hub ou un switch. -Vos ordinateurs appartenant à la DMZ seront connectés à ce même switch -(note : si vous -n'avez qu'un seul ordinateur dans la DMZ, vous pouvez le connecter -directement -au firewall par un câble croisé).

-

Ne connectez pas l'interface interne -et externe sur le même -hub ou switch (même pour tester). Cela ne fonctionnera pas et ne croyez -pas que ce soit shorewall qui ne marche pas.

-

L'exemple de configuration de Shorewall pour trois -interfaces suppose que l'interface externe est eth0, l'interface -locale est eth1 - et que la DMZ est sur l'interface eth2. Si votre -configuration -diffère, vous devrez modifier le fichier d'exemple -/etc/shorewall/interfaces -en conséquence. Tant que vous y êtes, vous pourriez parcourir la liste -des -options qui sont spécifiées pour les interfaces. Quelques trucs :

- -

Adresses IP

-

Avant d'aller plus loin, nous devons dire quelques mots -au sujet du Protocole d'adresse Internet (IP). Normalement, votre -fournisseur Internet (ISP) vous assignera une seule adresse IP (single -Public IP address). Cette adresse peut être assignée par le Dynamic -Host Configuration Protocol (DHCP) ou lors de l'établissement de votre -connexion lorsque vous vous -connectez (modem standard) ou établissez votre connexion PPP. Dans de -rares -cas , votre provider peu vous assigner une adresse statique (staticIP -address); -cela signifie que vous configurez votre interface externe sur votre -firewall -afin d'utiliser cette adresse de manière permanente. Une fois votre -adresse -externe assignée, elle va être partagée par tout vos systèmes lors de -l'accès -à Internet. Vous devrez assigner vos propres adresses à votre réseau -local -(votre interface interne sur le firewall ainsi que les autres -ordinateurs). -La RFC 1918 réserve plusieurs plages d'IP (Private IP address ranges) à -cette fin :

-
-
     10.0.0.0    - 10.255.255.255
     172.16.0.0  - 172.31.255.255
     192.168.0.0 - 192.168.255.255
-
-
-

Avant de lancer Shorewall, vous devriez regarder -l'adresse de votre -interface externe et si elle est comprise dans une des plages -précédentes, -vous devriez enlever l'option 'norfc1918' dans le fichier -/etc/shorewall/interfaces.

-
-
-

Vous devrez assigner les adresses locales à un -sous-réseau (sub-network ou subnet) et les adresse pour -la DMZ à un autre sous-réseau. Pour ce faire, nous pouvons considérer -qu'un sous-réseau consiste en une plage d'adresse x.y.z.0 à x.y.z.255. -Chacun des sous-réseaux possèdera une masque (Subnet Mask) de -255.255.255.0. L'adresse x.y.z.0 -est réservée comme l'adresse du sous-réseau (Subnet Address) -et x.y.z.255 est réservée en tant qu'adresse de broadcast du -sous-réseau -(Subnet Broadcast Address). Sous Shorewall, un -sous-réseau -est décrit/désigné en utilisant la notation Classless InterDomain -Routing(CIDR) -qui consiste en l'adresse du sous-réseau suivie par "/24". Le "24" se -réfère -au nombre de bits "1" consécutifs dans la partie gauche du masque de -sous-réseau. -

-
-
-

Exemple de sous-réseau (subnet) :

-
-
-
- - - - - - - - - - - - - - - - - - - -
Plage:10.10.10.0 - 10.10.10.255
Subnet Address:10.10.10.0
Broadcast Address:10.10.10.255
CIDR Notation:10.10.10.0/24
-
-
-
-

Il est de convention d'assigner à l'interface interne -la -première adresse utilisable dans le sous-réseau (10.10.10.1 dans -l'exemple -précédent) ou la dernière utilisable (10.10.10.254).

-
-
-

L'un des buts d'un sous-réseau est de permettre à tous -les ordinateurs dans le sous-réseau de savoir avec quels autres -ordinateurs -ils peuvent communiquer directement. Pour communiquer avec des systèmes -en dehors du sous-réseau, les ordinateurs envoient des paquets à -travers -le gateway (routeur).

-
-
-

Vos ordinateurs locaux (ordinateur local 1 et 2) -devraient être configurés avec leur passerelle par défaut (default -gateway)pointant sur l'adresse IP de l'interface interne du -firewall, et les ordinateurs de la DMZ devraient être configurés avec -leur passerelle par défaut (default gateway) pointant sur -l'adresse IP de l'interface DMZ du firewall.

-
-

Cette courte description ne fait que survoler les -concepts de routage et de sous-réseau. Si vous vous voulez en apprendre -plus sur -l'adressage IP et le routage, je vous recommande chaudement "IP -Fundamentals: What Everyone Needs to Know about Addressing & -Routing", Thomas A. Maufer, Prentice-Hall, 1999, ISBN 0-13-975483-0.

-

Pour rappel, ce guide supposera que vous avez configuré -votre réseau comme montrer ci-dessous :

-

-

La passerelle par défaut (default gateway) pour les -ordinateurs de la DMZ sera 10.10.11.254 et le passerelle par défaut -pour les -ordinateurs en local sera 10.10.10.254.

-

IP Masquerading (SNAT)

-

Les adresses réservées par la RFC 1918 sont parfois -désignées comme non-routables car les routeurs Internet (backbone) ne -font pas circuler les paquets qui ont une adresse de destination -appartenant à la RFC-1918. Lorsqu'un de vos systèmes en local -(supposons l'ordinateur1) demande une connexion à un serveur par -Internet, le firewall doit appliquer un NAT (Network Address -Translation). Le firewall ré écrit l'adresse source dans le paquet, et -l'a remplace par l'adresse de l'interface externe du firewall; en -d'autres mots, le firewall fait croire que c'est lui même qui initie la -connexion. Ceci est nécessaire afin que l'hôte de destination soit -capable de renvoyer les paquets au firewall (souvenez vous que les -paquets qui ont pour adresse de destination, une adresse réservée par -la RFC 1918 ne pourront pas être routés à travers Internet, donc l'hôte -Internet ne pourra adresser sa réponse à l'ordinateur 1). Lorsque le -firewall reçoit le paquet de réponse, il remet l'adresse de destination -à 10.10.10.1 et fait passer le paquet vers l'ordinateur 1.

-

Sur les systèmes Linux, ce procédé est souvent appelé -de -l'IP Masquerading mais vous verrez aussi le terme de Source Network -Address -Translation (SNAT) utilisé. Shorewall suit la convention utilisée avec -Netfilter -:

- -

Sous Shorewall, autant le Masquerading que le SNAT sont -configuré avec des entrés dans le fichier /etc/shorewall/masq.

-

Si votre interface externe est eth0, votre -interface locale eth1 et votre interface pour la DMZ eth2 -vous n'avez pas besoin de modifier le fichier fourni avec l'exemple. -Dans le cas contraire, éditez /etc/shorewall/masq et changez le en -conséquence.

-

Si votre IP externe est statique, vous pouvez la mettre -dans la troisième colonne dans /etc/shorewall/masq si vous le désirez, -de toutes façons votre firewall fonctionnera bien si vous laissez cette -colonne vide. Le fait -de mettre votre IP statique dans la troisième colonne permet un -traitement -des paquets sortant un peu plus efficace.
-

-

Si vous utilisez les paquets Debian, vérifiez que -votre fichier de configuration shorewall.conf contient bien les valeurs -suivantes, si elles n'y sont pas faite les changements nécessaires :
-

- -

Port Forwarding (DNAT)

-

Un de nos buts est de, peut être, faire tourner un ou -plusieurs serveurs sur nos ordinateurs dans la DMZ. que ces ordinateurs -on une adresse RFC-1918, il n'est pas possible pour les clients sur -Internet de se connecter directement à eux. Il est nécessaire à ces -clients d'adresser leurs demandes de connexion au firewall qui ré écrit -l'adresse de destination de votre -serveur, et fait passer le paquet à celui-ci. Lorsque votre serveur -répond, -le firewall applique automatiquement un SNAT pour ré écrire l'adresse -source -dans la réponse.

-

Ce procédé est appelé Port Forwarding ou Destination -Network Address Translation(DNAT). Vous configurez le port forwarding -en utilisant les règles DNAT dans le fichier /etc/shorewall/rules.

-

La forme générale d'une simple règle de port forwarding dans -/etc/shorewall/rules est :

-
- - - - - - - - - - - - - - - - - - - - - -
ACTIONSOURCEDESTINATIONPROTOCOLPORTSOURCE PORTORIGINAL ADDRESS
DNATnetdmz:<server local ip address> [:<server -port>]<protocol><port>
-
-
-
-

Si vous ne spécifiez pas le <server port>, il est -supposé être le même que <port>.

-

Exemple - vous faites tourner un serveur Web dans votre DMZ (2) et -vous voulez faire passer les paquets entrant en TCP sur le port 80 à ce -système :

-
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
ACTIONSOURCEDESTINATIONPROTOCOLPORTSOURCE PORTORIGINAL ADDRESS
DNATnetdmz:10.10.11.2tcp80# Fait suivre le port 80depuis Internet
ACCEPTlocdmz:10.10.11.2tcp80#Permet les connexions depuis le réseau local
-
-

Deux points importants à garder en mémoire :

- -
- - - - - - - - - - - - - - - - - - - - - -
ACTIONSOURCEDESTINATIONPROTOCOLPORTSOURCE PORTORIGINAL ADDRESS
DNATnetdmz:10.10.11.2:80tcp5000
-
-
-
-

Si vous voulez avoir la possibilité de vous connecter à votre -serveur -depuis le réseau local en utilisant votre adresse externe, et si vous -avez -une adresse IP externe statique (fixe), vous pouvez remplacer la règle -loc->dmz -précédente par :

-
- - - - - - - - - - - - - - - - - - - - - -
ACTIONSOURCEDESTINATIONPROTOCOLPORTSOURCE PORTORIGINAL ADDRESS
DNATnetdmz:10.10.11.2:80tcp80-<external IP>
-
-

Si vous avez une IP dynamique, alors vous devez vous assurer que -votre interface externe est en route avant de lancer Shorewall et vous -devez -suivre les étapes suivantes (en supposant que votre interface externe -est -eth0) :

-
    -
  1. Insérez ce qui suit dans /etc/shorewall/params :
    -
    -ETH0_IP=`find_interface_address eth0`
    -
    2. -
  2. Faites votre règle loc->dmz :
    3. -
-
- - - - - - - - - - - - - - - - - - - - - -
ACTIONSOURCEDESTINATIONPROTOCOLPORTSOURCE PORTORIGINAL ADDRESS
DNATloc
- 		dmz:10.10.11.2:80tcp80-$ETH0_IP
-
-

Si vous voulez accéder à votre serveur dans la DMZ en utilisant -votre -adresse IP externe, regardez FAQ 2a.

-

A -ce point, ajoutez les règles DNAT et ACCEPT pour vos serveurs..

-

Domain Name Server (DNS)

-

Normalement, quand vous vous connectez à votre -fournisseur (ISP), une partie consiste à obtenir votre adresse IP, -votre DNS pour le firewall (Domain Name Service) est configuré -automatiquement (c.a.d., le -fichier /etc/resolv.conf a été écrit). Il arrive que votre provider -vous -donne une paire d'adresse IP pour les DNS (name servers) afin que vous -configuriez -manuellement votre serveur de nom primaire et secondaire. La manière -dont -le DNS est configuré sur votre firewall est de votre responsabilité. -Vous -pouvez procéder d'une de ses deux façons :

- -
-

Si vous faites tourner le serveur de nom sur le -firewall : - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
ACTIONSOURCEDESTINATIONPROTOCOLPORTSOURCE PORTORIGINAL ADDRESS
ACCEPTlocfwtcp53
-
-
ACCEPTlocfwudp53
-
-
ACCEPTdmzfwtcp53
-
-
ACCEPTdmzfwudp53
-
-
-

-
-
-
-

Le serveur de nom tourne sur l'ordinateur 1 de la DMZ

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
ACTIONSOURCEDESTINATIONPROTOCOLPORTSOURCE PORTORIGINAL ADDRESS
ACCEPTlocdmz:10.10.11.1tcp53
-
-
ACCEPTlocdmz:10.10.11.1udp53
-
-
ACCEPTfwdmz:10.10.10.1tcp53
-
-
ACCEPTfwdmz:10.10.10.1udp53
-
-
-
-
-
-

Autres Connexions

-
-
-

L'exemple pour trois interfaces contient les règles -suivantes :

-
-
-
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
ACTIONSOURCEDESTINATIONPROTOCOLPORTSOURCE PORTORIGINAL ADDRESS
ACCEPTfwnetudp53
-
-
ACCEPTfwnettcp53
-
-
-
-
-
-

Ces règles permettent l'accès DNS depuis votre firewall -et peuvent être enlevées si vous avez décommenté la ligne dans -/etc/shorewall/policy autorisant toutes les connexions depuis votre -firewall et vers Internet.

-
-
-

L'exemple contient aussi :

-
-
-
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
ACTIONSOURCEDESTINATIONPROTOCOLPORTSOURCE PORTORIGINAL ADDRESS
ACCEPTlocfwtcp22
-
-
ACCEPTlocdmztcp22
-
-
-
-
-
-

Cette règle permet de faire fonctionner une serveur SSH -sur le firewall et sur tous les systèmes de la DMZ et d'y autoriser la -connexion à partir de votre réseau local.

-
-
-

Si vous désirez permettre d'autres connexions entre vos -systèmes, la forme générale est :

-
-
-
- - - - - - - - - - - - - - - - - - - - - -
ACTIONSOURCEDESTINATIONPROTOCOLPORTSOURCE PORTORIGINAL ADDRESS
ACCEPT<source zone><destination zone><protocol><port>
-
-
-
-
-
-

Exemple - Vous voulez faire tourner un serveur DNS -disponible pour le publique sur votre firewall :

-
-
-
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
ACTIONSOURCEDESTINATIONPROTOCOLPORTSOURCE PORTORIGINAL ADDRESS
ACCEPTnetfwtcp53#permet les accès DNSdepuis Internet
ACCEPTnetfwudp
- 		53#permet les accès DNSdepuis Internet
-
-
-
-

Ces deux règles seront, bien sur, ajoutées aux règles -décrites dans "Vous pouvez installer/configurer un cache dns (Caching -Name Server) sur votre firewall ou dans la DMZ".

-
-
-

Si vous ne savez pas quel port ou protocole une -application particulière utilise, regardez ici.

-
-
-

Important: Je ne vous recommande pas d'autoriser le -telnet depuis ou vers l'Internet car il utilise du texte en clair (même -pour le login et le mot de passe !). Si vous voulez avoir un accès au -shell de votre firewall depuis Internet, utilisez SSH :

-
-
-
- - - - - - - - - - - - - - - - - - - - - -
ACTIONSOURCEDESTINATIONPROTOCOLPORTSOURCE PORTORIGINAL ADDRESS
ACCEPTnetfwtcp22
-
-
-
-
-
-

Et maintenant, éditez /etc/shorewall/rules pour rajouter -les autres -connexions désirées.

-
-
-

Lancer et Arrêter son Firewall

-
-
-

Arrow La procédure -d'installation configure votre système pour lancer Shorewall au -boot du système, mais au début avec la -version 1.3.9 de Shorewall le lancement est désactivé, n'essayer pas de -lancer Shorewall avec que la configuration soit finie. Une fois que -vous -en avez fini avec la configuration du firewall, vous pouvez permettre -le -lancement de Shorewall en supprimant le fichier -/etc/shorewall/startup_disabled.
-

-

IMPORTANT: Les utilisateurs des paquets .deb doivent -éditer /etc/default/shorewall et mettre 'startup=1'.
-

-
-
-

Le firewall est activé en utilisant la commande -"shorewall start" et arrêté avec "shorewall stop". Lorsque le firewall -est stoppé, -le routage est autorisé sur les hôtes qui possèdent une entrée dans /etc/shorewall/routestopped. -Un firewall qui tourne peut être relancé en utilisant la commande -"shorewall restart". Si vous voulez enlever toutes traces de Shorewall -sur votre configuration de Netfilter, utilisez "shorewall clear".

-
-
-

L'exemple pour trois interfaces suppose que vous voulez -permettre le routage depuis/vers eth1 (votre réseau local) et -eth2(DMZ) lorsque Shorewall est arrêté. Si ces deux interfaces ne -sont pas connectées à votre réseau local et votre DMZ, ou si vous -voulez permettre un ensemble d'hôtes différents, modifiez -/etc/shorewall/routestopped en conséquence.

-
-
-

ATTENTION: Si vous êtes connecté à votre firewall -depuis -Internet, n'essayez pas une commande "shorewall stop" tant que vous -n'avez -pas ajouté une entrée pour votre adresse IP (celle à partir de laquelle -vous -êtes connectée) dans /etc/shorewall/routestopped. -De la même manière, je ne vous recommande pas d'utiliser "shorewall -restart"; il est plus intéressant de créer une configuration alternativeet de -la tester en utilisant la commande "shorewall try".

-
-

Last updated 05/19/2003 - Tom Eastep

-

Copyright 2002, -2003 Thomas M. Eastep
-

-
- - diff --git a/Shorewall-docs/three-interface_fr.xml b/Shorewall-docs/three-interface_fr.xml new file mode 100644 index 000000000..1adca64cc --- /dev/null +++ b/Shorewall-docs/three-interface_fr.xml @@ -0,0 +1,1409 @@ + + +
+ + Three-Interface Firewall + + + + Tom + + Eastep + + + + 2003-12-20 + + + 2001-2003 + + Thomas M. Eastep + + + + Permission is granted to copy, distribute and/or modify this + document under the terms of the GNU Free Documentation License, Version + 1.2 or any later version published by the Free Software Foundation; with + no Invariant Sections, with no Front-Cover, and with no Back-Cover + Texts. A copy of the license is included in the section entitled "GNU Free Documentation License". + + + + + Notes du traducteur : Je ne + prétends pas être un vrai traducteur dans le sens ou mon travail n'est + pas des plus précis (loin de là...). Je ne me suis pas attaché à une + traduction exacte du texte, mais plutôt à en faire une version française + intelligible par tous (et par moi). Les termes techniques sont la plupart + du temps conservés sous leur forme originale et mis entre parenthèses car + vous pouvez les retrouver dans le reste des documentations ainsi que dans + les fichiers de configuration. N'hésitez pas à me contacter afin + d?améliorer ce document VETSEL + Patrice (merci à JMM pour sa relecture et ses commentaires + pertinents, ainsi qu'à Tom EASTEP pour son formidable outil et sa + disponibilité). + + +
+ Introduction + + Mettre en place un système Linux en tant que firewall pour un petit + réseau contenant une DMZ est une chose assez simple, si vous comprenez les + bases et suivez la documentation. Ce guide ne veut pas vous apprendre tous + les rouages de Shorewall. Il se focalise sur ce qui est nécessaire pour + configurer Shorewall, dans son utilisation la plus courante : + + + + Un système Linux utilisé en tant que firewall/routeur pour un + petit réseau local. + + + + Une seule adresse IP publique. + + + + Une DMZ connectée sur une interface Ethernet séparée. + + + + Une connexion Internet par le biais d'un modem câble, ADSL, + ISDN, "Frame Relay", RTC ... + + + + Voici un schéma d'une installation typique. + + + + Ce guide suppose que vous avez le paquet iproute/iproute2 + d'installé. Vous pouvez voir si le paquet est installé en vérifiant la + présence du programme ip sur votre système de firewall. Sous root, + utilisez la commande 'which' pour rechercher le programme : + + [root@gateway root]# which ip + /sbin/ip + [root@gateway root]# + + + Je vous recommande dans un premier temps de parcourir tout le guide + pour vous familiariser avec ce qu'il va se passer, et de revenir au + début en effectuant le changements dans votre configuration. Les points, + où les changements dans la configuration sont recommandées, sont signalés + par une + + Si vous éditez vos + fichiers de configuration sur un système Windows, vous devez les sauver + comme des fichiers Unix si votre éditeur supporte cette option sinon vous + devez les faire passer par dos2unix avant d'essayer de les utiliser. + De la même manière, si vous copiez un fichier de configuration depuis + votre disque dur Windows vers une disquette, vous devez lancer dos2unix + sur la copie avant de l'utiliser avec Shorewall. + + + + Windows + Version of dos2unix + + + + Linux + Version of dos2unix + + +
+ +
+ Les Concepts de Shorewall + + Les fichiers de + configuration pour Shorewall sont situés dans le répertoire /etc/shorewall + -- pour de simples paramétrages, vous n'avez à faire qu'avec + quelques un d'entre eux comme décris dans ce guide. Après avoir installé Shorewall, téléchargez + le + two-interface sample, un-tarez le (tar -zxvf two-interface.tgz) et + copiez les fichiers vers /etc/shorewall (Ils remplaceront les fichiers de + même nom déjà existant dans /etc/shorewall installés lors de + l'installation de Shorewall). + + Parallèlement à la description, je vous suggère de jeter un oeil à + ceux physiquement présents sur votre système -- chacun des fichiers + contient des instructions de configuration détaillées et des entrées par + défaut. + + Shorewall voit le réseau où il tourne comme composé par un ensemble + de zones. Dans les fichiers de configuration fournis pour trois + interfaces, trois zones sont définies : + + + Zones + + + + + ZONE + + Description + + + + net + + Internet + + + + loc + + Votre réseau local + + + + dmz + + Zone Demilitarisée + + + +
+ + Les zones de Shorewall sont définies dans /etc/shorewall/zones. + + Shorewall reconnaît aussi le système de firewall comme sa propre + zone - par défaut, le firewall est connu comme fw. Les règles à propos de + quel trafic autoriser, et de quel trafic interdire sont exprimées en terme + de zones. + + + + Vous exprimez votre politique par défaut pour les connexions + d'une zone vers une autre zone dans le fichier /etc/shorewall/policy . + + + + Vous définissez les exceptions à ces politiques pas défaut dans + le fichier /etc/shorewall/rules. + + + + Pour chacune des demandes de connexion entrantes dans le firewall, + les demandes sont en premier lieu comparées par rapport au fichier + /etc/shorewall/rules. Si aucune des règles dans ce fichier ne + correspondent, alors la première politique dans /etc/shorewall/policy qui + y correspond est appliquée. Si cette politique est REJECT ou DROP la + requête est alors comparée par rapport aux règles contenues dans + /etc/shorewall/common (l'archive d'exemple vous fournit ce + fichier). + + Le fichier /etc/shorewall/policy d'exemple contenu dans + l'archive three-interface sample a les politiques suivantes : + + + /etc/shorewall/policy + + + + + SOURCE ZONE + + DESTINATION ZONE + + POLICY + + LOG LEVEL + + LIMIT:BURST + + + + fw + + net + + ACCEPT + + + + + + + + net + + all + + DROP + + info + + + + + + all + + all + + REJECT + + info + + + + + +
+ + Dans l'archive three-interface, la ligne suivante est existante + mais elle est commentée. Si vous souhaitez que votre système de firewall + puisse avoir un accès complet aux serveurs sur Internet, décommentez la. + + + /etc/shorewall/policy + + + + + SOURCE ZONE + + DESTINATION ZONE + + POLICY + + LOG LEVEL + + LIMIT:BURST + + + + fw + + net + + accept + + + + + + + +
+ + Ces politiques vont : + + + + permettre toutes demandes de connexion depuis le firewall vers + l'Internet + + + + drop (ignorer) toutes les demandes de connexion depuis + l'Internet vers votre firewall + + + + Facultativement accepter toutes les demandes de connexion de + votre firewall vers l'Internet (si vous avez dé commenté la + politique additionnelle) + + + + rejeter toutes les autres requêtes de connexion (Shorewall à + besoin de cette politique). + + + + A ce point, éditez + votre /etc/shorewall/policy et faites y les changements que vous désirez. +
+ +
+ Les Interfaces Réseau + + + + Le firewall a trois interfaces de réseau. Lorsque la connexion + Internet passe par le câble ou par un ROUTEUR (pas un simple modem) ADSL + (non USB), l'interface vers l'extérieur (External Interface) sera + l'adaptateur sur lequel est connecté le routeur (e.g., eth0) à moins + que vous ne vous connectiez par Point-to-PointProtocol overEthernet + (PPPoE) ou par Point-to-PointTunneling Protocol (PPTP), dans ce cas + l'interface extérieure sera une interface de type ppp (e.g., ppp0). Si + vous vous connectez par un simple modem (RTC), votre interface extérieure + sera aussi ppp0. Si votre connexion passe par Numéris (ISDN), votre + interface extérieure sera ippp0. + + Si votre interface + vers l'extérieur est ppp0 ou ippp0 alors vous mettrez CLAMPMSS=yes + dans /etc/shorewall/shorewall.conf. + + Votre Interface locale sera un adaptateur + Ethernet (eth0, eth1 + ou eth2) et sera connecté à un hub ou un + switch. Vos ordinateurs locaux seront connectés à ce même switch (note : + si vous n'avez qu'un seul ordinateur en local, vous pouvez le + connecter directement au firewall par un câble croisé). + + Votre interface DMZ sera aussi un adaptateur + Ethernet (eth0, eth1 + ou eth2) et sera connecté à un hub ou un + switch. Vos ordinateurs appartenant à la DMZ seront connectés à ce même + switch (note : si vous n'avez qu'un seul ordinateur dans la DMZ, + vous pouvez le connecter directement au firewall par un câble croisé). + + Ne connectez pas + l'interface interne et externe sur le même hub ou switch (même pour + tester). Cela ne fonctionnera pas et ne croyez pas que ce soit shorewall + qui ne marche pas. + + L'exemple de + configuration de Shorewall pour trois interfaces suppose que + l'interface externe est eth0, l'interface locale est eth1 et que + la DMZ est sur l'interface eth2. Si votre configuration diffère, vous + devrez modifier le fichier d'exemple /etc/shorewall/interfaces en + conséquence. Tant que vous y êtes, vous pourriez parcourir la liste des + options qui sont spécifiées pour les interfaces. Quelques trucs : + + + + Si votre interface vers l'extérieur est ppp0 ou ippp0, + vous pouvez remplacer le "detect" dans la seconde colonne par + un "-". + + + + Si votre interface vers l'extérieur est ppp0 ou ippp0 + ou si vous avez une adresse IP statique, vous pouvez enlever + "dhcp" dans la liste des options. + + +
+ +
+ Adresses IP + + Avant d'aller plus loin, nous devons dire quelques mots au sujet + du Protocole d'adresse Internet (IP). Normalement, votre fournisseur + Internet (ISP) vous assignera une seule adresse IP (single Public IP + address). Cette adresse peut être assignée par le Dynamic Host + Configuration Protocol (DHCP) ou lors de l'établissement de votre + connexion lorsque vous vous connectez (modem standard) ou établissez votre + connexion PPP. Dans de rares cas , votre provider peu vous assigner une + adresse statique (staticIP address); cela signifie que vous configurez + votre interface externe sur votre firewall afin d'utiliser cette + adresse de manière permanente. Une fois votre adresse externe assignée, + elle va être partagée par tout vos systèmes lors de l'accès à + Internet. Vous devrez assigner vos propres adresses à votre réseau local + (votre interface interne sur le firewall ainsi que les autres + ordinateurs). La RFC 1918 réserve plusieurs plages d'IP (Private IP + address ranges) à cette fin : + + 10.0.0.0 - 10.255.255.255 + 172.16.0.0 - 172.31.255.255 + 192.168.0.0 - 192.168.255.255 + + Avant de lancer + Shorewall, vous devriez regarder l'adresse de votre interface externe + et si elle est comprise dans une des plages précédentes, vous devriez + enlever l'option 'norfc1918' dans le fichier + /etc/shorewall/interfaces. + + Vous devrez assigner les adresses locales à un sous-réseau + (sub-network ou subnet) et les adresse pour la DMZ à un autre sous-réseau. + Pour ce faire, nous pouvons considérer qu'un sous-réseau consiste en + une plage d'adresse x.y.z.0 à x.y.z.255. Chacun des sous-réseaux + possèdera une masque (Subnet Mask) de 255.255.255.0. L'adresse x.y.z.0 + est réservée comme l'adresse du sous-réseau (Subnet Address) et + x.y.z.255 est réservée en tant qu'adresse de broadcast du sous-réseau + (Subnet Broadcast Address). Sous Shorewall, un sous-réseau est + décrit/désigné en utilisant la + notation Classless InterDomain Routing (CIDR) qui consiste en + l'adresse du sous-réseau suivie par "/24". Le "24" se + réfère au nombre de bits "1" consécutifs dans la partie gauche du + masque de sous-réseau. + + + Un exemple de sous-réseau (sub-network) : + + + + + Plage: + + 10.10.10.0 - 10.10.10.255 + + + + Subnet Address: + + 10.10.10.0 + + + + Broadcast Address: + + 10.10.10.255 + + + + CIDR Notation: + + 10.10.10.0/24 + + + +
+ + Il est de convention d'assigner à l'interface interne la + première adresse utilisable dans le sous-réseau (10.10.10.1 dans + l'exemple précédent) ou la dernière utilisable (10.10.10.254). + L'un des buts d'un sous-réseau est de permettre à tous les + ordinateurs dans le sous-réseau de savoir avec quels autres ordinateurs + ils peuvent communiquer directement. Pour communiquer avec des systèmes en + dehors du sous-réseau, les ordinateurs envoient des paquets à travers le + gateway (routeur). + + Vos ordinateurs + locaux (ordinateur local 1 et 2) devraient être configurés avec leur + passerelle par défaut (default gateway)pointant sur l'adresse IP de + l'interface interne du firewall, et les ordinateurs de la DMZ + devraient être configurés avec leur passerelle par défaut (default + gateway) pointant sur l'adresse IP de l'interface DMZ du firewall. + + Cette courte description ne fait que survoler les concepts de + routage et de sous-réseau. Si vous vous voulez en apprendre plus sur + l'adressage IP et le routage, je vous recommande chaudement "IP + Fundamentals: What Everyone Needs to Know about Addressing & + Routing", Thomas A. Maufer, Prentice-Hall, 1999, ISBN 0-13-975483-0. + + Pour rappel, ce guide supposera que vous avez configuré votre réseau + comme montrer ci-dessous : + + + + La passerelle par défaut (default gateway) pour les ordinateurs de + la DMZ sera 10.10.11.254 et le passerelle par défaut pour les ordinateurs + en local sera 10.10.10.254. +
+ +
+ IP Masquerading (SNAT) + + Les adresses réservées par la RFC 1918 sont parfois désignées comme + non-routables car les routeurs Internet (backbone) ne font pas circuler + les paquets qui ont une adresse de destination appartenant à la RFC-1918. + Lorsqu'un de vos systèmes en local (supposons l'ordinateur1) + demande une connexion à un serveur par Internet, le firewall doit + appliquer un NAT (Network Address Translation). Le firewall ré écrit + l'adresse source dans le paquet, et l'a remplace par l'adresse + de l'interface externe du firewall; en d'autres mots, le firewall + fait croire que c'est lui même qui initie la connexion. Ceci est + nécessaire afin que l'hôte de destination soit capable de renvoyer les + paquets au firewall (souvenez vous que les paquets qui ont pour adresse de + destination, une adresse réservée par la RFC 1918 ne pourront pas être + routés à travers Internet, donc l'hôte Internet ne pourra adresser sa + réponse à l'ordinateur 1). Lorsque le firewall reçoit le paquet de + réponse, il remet l'adresse de destination à 10.10.10.1 et fait passer + le paquet vers l'ordinateur 1. + + Sur les systèmes Linux, ce procédé est souvent appelé de l'IP + Masquerading mais vous verrez aussi le terme de Source Network Address + Translation (SNAT) utilisé. Shorewall suit la convention utilisée avec + Netfilter : + + + + Masquerade désigne le cas ou vous laissez + votre firewall détecter automatiquement l'adresse de + l'interface externe. + + + + SNAT désigne le cas où vous spécifiez + explicitement l'adresse source des paquets sortant de votre réseau + local. + + + + Sous Shorewall, autant le Masquerading que le SNAT sont configuré + avec des entrés dans le fichier /etc/shorewall/masq. + + Si votre interface + externe est eth0, votre interface locale + eth1 et votre interface pour la DMZ + eth2 vous n'avez pas besoin de + modifier le fichier fourni avec l'exemple. Dans le cas contraire, + éditez /etc/shorewall/masq et changez le en conséquence. + + Si votre IP externe + est statique, vous pouvez la mettre dans la troisième colonne dans + /etc/shorewall/masq si vous le désirez, de toutes façons votre firewall + fonctionnera bien si vous laissez cette colonne vide. Le fait de mettre + votre IP statique dans la troisième colonne permet un traitement des + paquets sortant un peu plus efficace. + + Si vous utilisez les + paquets Debian, vérifiez que votre fichier de configuration shorewall.conf + contient bien les valeurs suivantes, si elles n'y sont pas faite les + changements nécessaires: + + + + NAT_ENABLED=Yes + + + + IP_FORWARDING=On + + +
+ +
+ Port Forwarding (DNAT) + + Un de nos buts est de, peut être, faire tourner un ou plusieurs + serveurs sur nos ordinateurs dans la DMZ. que ces ordinateurs on une + adresse RFC-1918, il n'est pas possible pour les clients sur Internet + de se connecter directement à eux. Il est nécessaire à ces clients + d'adresser leurs demandes de connexion au firewall qui ré écrit + l'adresse de destination de votre serveur, et fait passer le paquet à + celui-ci. Lorsque votre serveur répond, le firewall applique + automatiquement un SNAT pour ré écrire l'adresse source dans la + réponse. Ce procédé est appelé Port Forwarding ou Destination Network + Address Translation(DNAT). Vous configurez le port forwarding en utilisant + les règles DNAT dans le fichier /etc/shorewall/rules. La forme générale + d'une simple règle de port forwarding dans /etc/shorewall/rules est : + + + /etc/shorewall/rules + + + + + ACTION + + SOURCE + + DESTINATION + + PROTOCOL + + PORT + + SOURCE PORT + + ORIGINAL DEST + + + + DNAT + + net + + dmz:<server local ip address> + [:<server port>] + + <protocol> + + <port> + + + + + + + +
+ + Si vous ne spécifiez pas le <server port>, il est supposé + être le même que <port>. + + Exemple - vous faites tourner un serveur Web dans votre DMZ (2) et + vous voulez faire passer les paquets entrant en TCP sur le port 80 à ce + système : + + + /etc/shorewall/rules + + + + + ACTION + + SOURCE + + DESTINATION + + PROTOCOL + + PORT + + SOURCE PORT + + ORIGINAL DEST + + + + DNAT + + net + + dmz:10.10.11.2 + + tcp + + 80 + + + + + + + + ACCEPT + + loc + + dmz:10.10.11.2 + + tcp + + 80 + + + + + + + +
+ + Deux points importants à garder en mémoire : + + + + Lorsque vous vous connectez à votre serveur à partir de votre + réseau local, vous devez utiliser l'adresse IP interne du serveur + (10.10.11.2). + + + + Quelques fournisseurs Internet (Provider/ISP) bloquent les + requêtes de connexion entrantes sur le port 80. Si vous avez des + problèmes pour vous connecter à votre serveur web, essayez la règle + suivante et connectez vous sur le port 5000 (c.a.d., connectez vous à + http://w.x.y.z:5000 où w.x.y.z est votre IP externe). + + + /etc/shorewall/rules + + + + + ACTION + + SOURCE + + DESTINATION + + PROTOCOL + + PORT + + SOURCE PORT + + ORIGINAL DEST + + + + DNAT + + net + + dmz:10.10.11.2:80 + + tcp + + 5000 + + + + + + + +
+ + + + Si vous voulez avoir la possibilité de vous connecter à votre + serveur depuis le réseau local en utilisant votre adresse externe, et si + vous avez une adresse IP externe statique (fixe), vous pouvez remplacer la + règle loc->dmz précédente par : + + + /etc/shorewall/rules + + + + + ACTION + + SOURCE + + DESTINATION + + PROTOCOL + + PORT + + SOURCE PORT + + ORIGINAL DEST + + + + DNAT + + net + + dmz:10.10.11.2:80 + + tcp + + 5000 + + - + + <external IP> + + + +
+ + Si vous avez une IP dynamique, alors vous devez vous assurer que + votre interface externe est en route avant de lancer Shorewall et vous + devez suivre les étapes suivantes (en supposant que votre interface + externe est eth0) : + + + + Insérez ce qui suit dans /etc/shorewall/params : + + ETH0_IP=`find_interface_address eth0` + + + + Faites votre règle loc->dmz : + + + /etc/shorewall/rules + + + + + ACTION + + SOURCE + + DESTINATION + + PROTOCOL + + PORT + + SOURCE PORT + + ORIGINAL DEST + + + + DNAT + + net + + dmz:10.10.11.2:80 + + tcp + + 5000 + + - + + $ETH0_IP + + + +
+ + + + Si vous voulez accéder à votre serveur dans la DMZ en utilisant + votre adresse IP externe, regardez FAQ 2a. + + A ce point, ajoutez + les règles DNAT et ACCEPT pour vos serveurs. +
+ +
+ Domain Name Server (DNS) + + Normalement, quand vous vous connectez à votre fournisseur (ISP), + une partie consiste à obtenir votre adresse IP, votre DNS pour le firewall + (Domain Name Service) est configuré automatiquement (c.a.d., le fichier + /etc/resolv.conf a été écrit). Il arrive que votre provider vous donne une + paire d'adresse IP pour les DNS (name servers) afin que vous + configuriez manuellement votre serveur de nom primaire et secondaire. La + manière dont le DNS est configuré sur votre firewall est de votre + responsabilité. Vous pouvez procéder d'une de ses deux façons : + + + + Vous pouvez configurer votre système interne pour utiliser les + noms de serveurs de votre provider. Si votre fournisseur vous donne + les adresses de leurs serveurs ou si ces adresses sont disponibles sur + leur site web, vous pouvez configurer votre système interne afin de + les utiliser. Si cette information n'est pas disponible, regardez + dans /etc/resolv.conf sur votre firewall -- les noms des serveurs sont + donnés dans l'enregistrement "nameserver" dans ce fichier. + + + + + Vous pouvez + installer/configurer un cache dns (Caching Name Server) sur votre + firewall ou dans la DMZ. Red Hat a un RPM pour mettre en cache un + serveur de nom (le RPM requis aussi le RPM 'bind') et pour les + utilisateurs de Bering, il y a dnscache.lrp. Si vous adoptez cette + approche, vous configurez votre système interne pour utiliser le + firewall lui même comme étant le seul serveur de nom primaire. Vous + pouvez utiliser l'adresse IP interne du firewall (10.10.10.254 + dans l'exemple) pour l'adresse de serveur de nom si vous + décidez de faire tourner le serveur de nom sur votre firewall. Pour + permettre à vos systèmes locaux de discuter avec votre serveur cache + de nom, vous devez ouvrir le port 53 (UDP ET  TCP) sur le + firewall vers le réseau local; vous ferez ceci en ajoutant les règles + suivantes dans /etc/shorewall/rules. + + Si vous faites tourner le serveur de nom sur le firewall : + + + + /etc/shorewall/rules + + + + + ACTION + + SOURCE + + DESTINATION + + PROTOCOL + + PORT + + SOURCE PORT + + ORIGINAL DEST + + + + ACCEPT + + loc + + fw + + udp + + 53 + + + + + + + + ACCEPT + + loc + + fw + + tcp + + 53 + + + + + + + + ACCEPT + + dmz + + fw + + udp + + 53 + + + + + + + + ACCEPT + + dmz + + fw + + tcp + + 53 + + + + + + + +
+ + Le serveur de nom tourne sur l'ordinateur 1 de la DMZ + + + /etc/shorewall/rules + + + + + ACTION + + SOURCE + + DESTINATION + + PROTOCOL + + PORT + + SOURCE PORT + + ORIGINAL DEST + + + + ACCEPT + + loc + + dmz:10.10.11.1 + + udp + + 53 + + + + + + + + ACCEPT + + loc + + dmz:10.10.11.1 + + tcp + + 53 + + + + + + + + ACCEPT + + dmz + + dmz:10.10.11.1 + + udp + + 53 + + + + + + + + ACCEPT + + dmz + + dmz:10.10.11.1 + + tcp + + 53 + + + + + + + +
+ + +
+ +
+ Autres connexions + + L'exemple pour trois interfaces contient les règles suivantes : + + + /etc/shorewall/rules + + + + + ACTION + + SOURCE + + DESTINATION + + PROTOCOL + + PORT + + SOURCE PORT + + ORIGINAL DEST + + + + ACCEPT + + fw + + net + + udp + + 53 + + + + + + + + ACCEPT + + fw + + net + + tcp + + 53 + + + + + + + +
+ + Ces règles permettent l'accès DNS depuis votre firewall et + peuvent être enlevées si vous avez décommenté la ligne dans + /etc/shorewall/policy autorisant toutes les connexions depuis votre + firewall et vers Internet. + + L'exemple contient aussi : + + + /etc/shorewall/rules + + + + + ACTION + + SOURCE + + DESTINATION + + PROTOCOL + + PORT + + SOURCE PORT + + ORIGINAL DEST + + + + ACCEPT + + loc + + fw + + tcp + + 22 + + + + + + + + ACCEPT + + loc + + dmz + + tcp + + 22 + + + + + + + +
+ + Cette règle permet de faire fonctionner une serveur SSH sur le + firewall et sur tous les systèmes de la DMZ et d'y autoriser la + connexion à partir de votre réseau local. + + Si vous désirez permettre d'autres connexions entre vos + systèmes, la forme générale est : + + + /etc/shorewall/rules + + + + + ACTION + + SOURCE + + DESTINATION + + PROTOCOL + + PORT + + SOURCE PORT + + ORIGINAL DEST + + + + ACCEPT + + <source zone> + + <destination zone> + + <protocol> + + <port> + + + + + + + +
+ + Exemple - Vous voulez faire tourner un serveur Web sur votre + firewall : + + + /etc/shorewall/rules + + + + + ACTION + + SOURCE + + DESTINATION + + PROTOCOL + + PORT + + SOURCE PORT + + ORIGINAL DEST + + + + ACCEPT + + loc + + fw + + tcp + + 80 + + + + + + + + ACCEPT + + net + + fw + + tcp + + 80 + + + + + + + +
+ + Ces deux règles seront, bien sur, ajoutées aux règles décrites dans + "Vous pouvez installer/configurer un cache dns (Caching Name Server) + sur votre firewall ou dans la DMZ". + + Si vous ne savez pas quel port ou protocole une application + particulière utilise, regardez ici. + + Important: Je ne vous recommande pas d'autoriser le telnet + depuis ou vers l'Internet car il utilise du texte en clair (même pour + le login et le mot de passe !). Si vous voulez avoir un accès au shell de + votre firewall depuis Internet, utilisez SSH : + + + /etc/shorewall/rules + + + + + ACTION + + SOURCE + + DESTINATION + + PROTOCOL + + PORT + + SOURCE PORT + + ORIGINAL DEST + + + + ACCEPT + + net + + fw + + tcp + + 22 + + + + + + + +
+ + Et maintenant, + éditez /etc/shorewall/rules pour rajouter les autres connexions désirées. +
+ +
+ Lancer et Arrêter son Firewall + + La procédure d'installation + configure votre système pour lancer Shorewall au boot du système, mais au + début avec la version 1.3.9 de Shorewall le lancement est désactivé, + n'essayer pas de lancer Shorewall avec que la configuration soit + finie. Une fois que vous en aurez fini avec la configuration du firewall, + vous pouvez permettre le lancement de Shorewall en supprimant le fichier + /etc/shorewall/startup_disabled. + + IMPORTANT: Les utilisateurs des paquets .deb + doivent éditer /etc/default/shorewall et mettre 'startup=1'. + + Le firewall est activé en utilisant la commande "shorewall + start" et arrêté avec "shorewall stop". Lorsque le firewall + est stoppé, le routage est autorisé sur les hôtes qui possèdent une entrée + dans /etc/shorewall/routestopped. + Un firewall qui tourne peut être relancé en utilisant la commande + "shorewall restart". Si vous voulez enlever toutes traces de + Shorewall sur votre configuration de Netfilter, utilisez "shorewall + clear". + + L'exemple pour + trois interfaces suppose que vous voulez permettre le routage depuis/vers + eth1 (votre réseau local) et eth2(DMZ) lorsque Shorewall est arrêté. Si ces deux + interfaces ne sont pas connectées à votre réseau local et votre DMZ, ou si + vous voulez permettre un ensemble d'hôtes différents, modifiez + /etc/shorewall/routestopped en conséquence. + + ATTENTION: Si vous êtes connecté à + votre firewall depuis Internet, n'essayez pas une commande + "shorewall stop" tant que vous n'avez pas ajouté une entrée + pour votre adresse IP (celle à partir de laquelle vous êtes connectée) + dans + /etc/shorewall/routestopped. De la même manière, je ne vous + recommande pas d'utiliser "shorewall restart"; il est plus + intéressant de créer une + configuration alternative et de la tester en utilisant la commande + "shorewall try". +
+
\ No newline at end of file diff --git a/Shorewall-docs/two-interface_fr.xml b/Shorewall-docs/two-interface_fr.xml index 44c38e8a0..05420825d 100755 --- a/Shorewall-docs/two-interface_fr.xml +++ b/Shorewall-docs/two-interface_fr.xml @@ -40,7 +40,7 @@ du temps conservés sous leur forme originale et mis entre parenthèses car vous pouvez les retrouver dans le reste des documentations ainsi que dans les fichiers de configuration. N'hésitez pas à me contacter afin - d?améliorer ce document VETSEL + d'améliorer ce document VETSEL Patrice (merci à JMM pour sa relecture et ses commentaires pertinents, ainsi qu'à Tom EASTEP pour son formidable outil et sa disponibilité). @@ -67,7 +67,7 @@ Une connexion Internet par le biais d'un modem câble, ADSL, - ISDN, "Frame Relay", RTC ... + ISDN, "Frame Relay", RTC ... @@ -140,17 +140,17 @@ Shorewall voit le réseau où il tourne, comme un ensemble de zones. Dans une configuration avec deux interfaces, les noms des zones suivantes - sont utilisés: + sont utilisés: - /etc/shorewall/zones + Zones - ZONE + Zone - DISPLAY + Descriptions @@ -162,7 +162,7 @@ loc - Votre réseau local + Votre réseau local @@ -179,7 +179,7 @@ Vous exprimez votre politique par défaut pour les connexions d'une zone vers une autre zone dans le fichier /etc/shorewall/policy . + url="Documentation.htm#Policy">/etc/shorewall/policy . @@ -290,23 +290,23 @@
- Ces politiques vont : + Ces politiques vont : permettre toutes demandes de connexion depuis le firewall vers - l'Internet + l'Internet drop (ignorer) toutes les demandes de connexion depuis - l'Internet vers votre firewall + l'Internet vers votre firewall Facultativement accepter toutes les demandes de connexion de votre firewall vers l'Internet (si vous avez dé commenté la - politique additionnelle) + politique additionnelle) @@ -316,8 +316,7 @@ A ce point, éditez - votre /etc/shorewall/policy et faites y les changements que vous désirez. - + votre /etc/shorewall/policy et faites y les changements que vous désirez.
@@ -364,14 +363,14 @@ Si votre interface vers l'extérieur est ppp0 ou ippp0, vous pouvez remplacer le "detect" dans la seconde colonne par - un "-". + un "-". Si votre interface vers l'extérieur est ppp0 ou ippp0 ou si vous avez une adresse IP statique, vous pouvez enlever - "dhcp" dans la liste des options. + "dhcp" dans la liste des options.
@@ -417,7 +416,7 @@ marquant "1" dans la partie gauche du masque de sous-réseau. - Un exemple de sous-réseau (sub-network) : + Un exemple de sous-réseau (sub-network) : @@ -504,13 +503,13 @@ Masquerade désigne le cas ou vous laissez votre firewall détecter automatiquement l'adresse de - l'interface externe. + l'interface externe. SNAT désigne le cas où vous spécifiez explicitement l'adresse source des paquets sortant de votre réseau - local. + local. @@ -540,7 +539,7 @@ - NAT_ENABLED=Yes + NAT_ENABLED=Yes @@ -662,14 +661,14 @@ navigateur tournant sur l'ordinateur 1 ou 2 ou sur le firewall). Si vous voulez avoir la possibilité d'accéder à votre serveur web en utilisant l'adresse IP externe de votre firewall, regardez - Shorewall FAQ #2. + Shorewall FAQ #2. Quelques fournisseurs Internet (Provider/ISP) bloquent les requêtes entrantes de connexion sur le port 80. Si vous avez des problèmes à vous connecter à votre serveur web, essayez la règle - suivante et connectez vous sur le port 5000. + suivante et connectez vous sur le port 5000.
/etc/shorewall/rules @@ -966,7 +965,7 @@
Exemple - Vous voulez faire tourner un serveur Web sur votre - firewall : + firewall : /etc/shorewall/rules @@ -1082,7 +1081,7 @@
- Lancer et Arrêter son Firewall + Lancer et Arrêter son Firewall La procédure d'installation configure votre système pour lancer Shorewall au boot du système, mais au