diff --git a/Shorewall-docs/seattlefirewall_index.htm b/Shorewall-docs/seattlefirewall_index.htm index 5d36bd3fa..52bc16e76 100644 --- a/Shorewall-docs/seattlefirewall_index.htm +++ b/Shorewall-docs/seattlefirewall_index.htm @@ -1,516 +1,276 @@ - + + - - - -Shoreline Firewall (Shorewall) 1.4 - - - -
-
- - - - - - -
-

Site Problem

- -The server that normally hosts www.shorewall.net and -ftp.shorewall.net is currently down. Until it is back up, a small -server with very limited bandwidth is being used temporarly. You -will likely experience better response time from the Sourceforge -site or from one of the other mirrors. Sorry for the -inconvenience.
-
- - -

Introduction to Shorewall
-

- -

This is the Shorewall 1.4 Web Site

- -The information on this site applies only to 1.4.x releases of -Shorewall. For older versions:
- - -
    -
  • The 1.3 site is here.
    • - -
  • The 1.2 site is here.
    • -
- -

Glossary
-

- -
    -
  • Netfilter - the packet -filter facility built into the 2.4 and later Linux kernels.
    • - -
  • ipchains - the packet filter facility built into the 2.2 Linux -kernels. Also the name of the utility program used to configure and -control that facility. Netfilter can be used in ipchains -compatibility mode.
    -
    • - -
  • iptables - the utility program used to configure and control -Netfilter. The term 'iptables' is often used to refer to the -combination of iptables+Netfilter (with Netfilter not in ipchains -compatibility mode).
    • -
- -

What is Shorewall?
-

- -The Shoreline Firewall, more commonly known as "Shorewall", is -high-level tool for configuring Netfilter. You describe your -firewall/gateway requirements using entries in a set of -configuration files. Shorewall reads those configuration files and -with the help of the iptables utility, Shorewall configures -Netfilter to match your requirements. Shorewall can be used on a -dedicated firewall system, a multi-function gateway/router/server -or on a standalone GNU/Linux system. Shorewall does not use -Netfilter's ipchains compatibility mode and can thus take advantage -of Netfilter's connection state tracking capabilities.
-
-Shorewall is not a -daemon. Once Shorewall has configured Netfilter, it's job is -complete although the /sbin/shorewall program can -be used at any time to monitor the Netfilter firewall.
- - -

Getting Started with Shorewall

- -New to Shorewall? Start by selecting the QuickStart Guide that most -closely match your environment and follow the step by step -instructions.
- - -

Looking for Information?

- -The Documentation -Index is a good place to start as is the Quick Search in the -frame above. - -

License
-

- -This program is free software; you can redistribute it and/or -modify it under the terms of Version 2 of the GNU General -Public License as published by the Free Software -Foundation.
- - -

This program is distributed in the hope that it will be useful, -but WITHOUT ANY WARRANTY; without even the implied warranty of -MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE. See the GNU -General Public License for more details.
-
-You should have received a copy of the GNU General Public License -along with this program; if not, write to the Free Software -Foundation, Inc., 675 Mass Ave, Cambridge, MA 02139, USA

- -

Copyright 2001, 2002, 2003 Thomas M. -Eastep
-

- -

Running Shorewall on Mandrake with a two-interface setup?

- -If so, the documentation on this site will not apply -directly to your setup. If you want to use the documentation that -you find here, you will want to consider uninstalling what you have -and installing a setup that matches the documentation on this site. -See the Two-interface QuickStart -Guide for details.
- - -

News

- -

12/07/2003 - Shorewall 1.4.9 Beta 1 (New)
-

- - - -

Problems Corrected since version 1.4.8:
-

- -
    -
  1. There has been a low continuing level of confusion over the -terms "Source NAT" (SNAT) and "Static NAT". To avoid future -confusion, all instances of "Static NAT" have been replaced with -"One-to-one NAT" in the documentation and configuration files.
    2. - -
  2. The description of NEWNOTSYN in shorewall.conf has been -reworded for clarity.
    3. - -
  3. Wild-card rules (those involving "all" as SOURCE or DEST) will -no longer produce an error if they attempt to add a rule that would -override a NONE policy. The logic for expanding these wild-card -rules now simply skips those (SOURCE,DEST) pairs that have a NONE -policy.
    -
    4. -
- -

Migration Issues:
-
-    None.
-
-New Features:
-

- -
    -
  1. To cut down on the number of "Why are these ports closed rather -than stealthed?" questions, the SMB-related rules in -/etc/shorewall/common.def have been changed from 'reject' to -'DROP'.
    2. - -
  2. For easier identification, packets logged under the 'norfc1918' -interface option are now logged out of chains named 'rfc1918'. -Previously, such packets were logged under chains named -'logdrop'.
    3. - -
  3. Distributors and developers seem to be regularly inventing new -naming conventions for kernel modules. To avoid the need to change -Shorewall code for each new convention, the MODULE_SUFFIX option -has been added to shorewall.conf. MODULE_SUFFIX may be set to the -suffix for module names in your particular distribution. If -MODULE_SUFFIX is not set in shorewall.conf, Shorewall will use the -list "o gz ko o.gz".
    -
    -To see what suffix is used by your distribution:
    -
    -ls /lib/modules/$(uname -r)/kernel/net/ipv4/netfilter
    -
    -All of the files listed should have the same suffix (extension). -Set MODULE_SUFFIX to that suffix.
    -
    -Examples:
    -
    -     If all files end in ".kzo" then set -MODULE_SUFFIX="kzo"
    -     If all files end in ".kz.o" then set -MODULE_SUFFIX="kz.o"
    4. - -
  4. Support for user defined rule ACTIONS has been implemented -through two new files:
    -
    -/etc/shorewall/actions - used to list the user-defined ACTIONS.
    -/etc/shorewall/action.template - For each user defined -<action>, copy this file to -/etc/shorewall/action.<action> and add the appropriate rules -for that <action>. Once an <action> has been defined, -it may be used like any of the builtin ACTIONS (ACCEPT, DROP, etc.) -in /etc/shorewall/rules.
    -
    -Example: You want an action that logs a packet at the 'info' level -and accepts the connection.
    -
    -In /etc/shorewall/actions, you would add:
    -
    -     LogAndAccept
    -
    -You would then copy /etc/shorewall/action.template to -/etc/shorewall/LogAndAccept and in that file, you would add the two -rules:
    -        LOG:info
    -        ACCEPT
    -
    -
    5. -
- -

12/03/2003 - Support Torch Passed (New)

- -Effective today, I am reducing my participation in the day-to-day -support of Shorewall. As part of this shift to community-based -Shorewall support a new Shorewall -Newbies mailing list has been established to field questions -and problems from new users. I will not monitor that list -personally. I will continue my active development of Shorewall and -will be available via the development list to handle development -issues -- Tom. - -

11/07/2003 - Shorewall 1.4.8
-
- Problems Corrected since version 1.4.7:
-

- -
    -
  1. Tuomo Soini has supplied a correction to a problem that occurs -using some versions of 'ash'. The symptom is that "shorewall start" -fails with:

    -   local: --limit: bad variable name
    -   iptables v1.2.8: Couldn't load match -`-j':/lib/iptables/libipt_-j.so:
    -   cannot open shared object file: No such file or -directory
    -   Try `iptables -h' or 'iptables --help' for more -information.
    2. - -
  2. Andres Zhoglo has supplied a correction that avoids trying to -use the multiport match iptables facility on ICMP rules.

    -   Example of rule that previously caused "shorewall -start" to fail:

    -           -ACCEPT      loc  $FW  -icmp    0,8,11,12
    -
    -
    3. - -
  3. Previously, if the following error message was issued, -Shorewall was left in an inconsistent state.

    -   Error: Unable to determine the routes through -interface xxx
    -
    -
    4. - -
  4. Handling of the LOGUNCLEAN option in shorewall.conf has been -corrected.
    5. - -
  5. In Shorewall 1.4.2, an optimization was added. This -optimization involved creating a chain named "<zone>_frwd" -for most zones defined using the /etc/shorewall/hosts file. It has -since been discovered that in many cases these new chains contain -redundant rules and that the "optimization" turns out to be less -than optimal. The implementation has now been corrected.
    6. - -
  6. When the MARK value in a tcrules entry is followed by ":F" or -":P", the ":F" or ":P" was previously only applied to the first -Netfilter rule generated by the entry. It is now applied to all -entries.
    7. - -
  7. An incorrect comment concerning Debian's use of the SUBSYSLOCK -option has been removed from shorewall.conf.
    8. - -
  8. Previously, neither the 'routefilter' interface option nor the -ROUTE_FILTER parameter were working properly. This has been -corrected (thanks to Eric Bowles for his analysis and patch). The -definition of the ROUTE_FILTER option has changed however. -Previously, ROUTE_FILTER=Yes was documented as enabling route -filtering on all interfaces (which didn't work). Beginning with -this release, setting ROUTE_FILTER=Yes will enable route filtering -of all interfaces brought up while Shorewall is started. As a -consequence, ROUTE_FILTER=Yes can coexist with the use of the -'routefilter' option in the interfaces file.
    9. - -
  9. If MAC verification was enabled on an interface with a /32 -address and a broadcast address then an error would occur during -startup.
    10. - -
  10. he NONE policy's intended use is to suppress the generating of -rules that can't possibly be traversed. This means that a policy of -NONE is inappropriate where the source or destination zone is $FW -or "all". Shorewall now generates an error message if such a policy -is given in /etc/shorewall/policy. Previously such a policy caused -"shorewall start" to fail.
    11. - -
  11. The 'routeback' option was broken for wildcard interfaces -(e.g., "tun+"). This has been corrected so that 'routeback' now -works as expected in this case.
    -
    12. -
- -Migration Issues:
- - -
    -
  1. The definition of the ROUTE_FILTER option in shorewall.conf has -changed as described in item 8) above.
    -
    2. -
- -New Features:
- - -
    -
  1. A new QUEUE action has been introduced for rules. QUEUE allows -you to pass connection requests to a user-space filter such as -ftwall (http://p2pwall.sourceforge.net). The ftwall program allows -for effective filtering of p2p applications such as Kazaa. For -example, to use ftwall to filter P2P clients in the 'loc' zone, you -would add the following rules:
    -
    -   QUEUE   loc    -     net    tcp
    -   QUEUE   loc    -     net    udp
    -   QUEUE   loc    -     fw     udp
    -
    -You would normally want to place those three rules BEFORE any -ACCEPT rules for loc->net udp or tcp.
    -
    -Note: When the protocol specified is TCP ("tcp", "TCP" or "6"), -Shorewall will only pass connection requests (SYN packets) to user -space. This is for compatibility with ftwall.
    2. - -
  2. A BLACKLISTNEWNONLY option has been added to shorewall.conf. -When this option is set to "Yes", the blacklists (dynamic and -static) are only consulted for new connection requests. When set to -"No" (the default if the variable is not set), the blacklists are -consulted on every packet.
    -
    -Setting this option to "No" allows blacklisting to stop existing -connections from a newly blacklisted host but is more expensive in -terms of packet processing time. This is especially true if the -blacklists contain a large number of entries.
    3. - -
  3. Chain names used in the /etc/shorewall/accounting file may now -begin with a digit ([0-9]) and may contain embedded dashes -("-").
    4. -
- -

10/26/2003 - Shorewall 1.4.7a and 1.4.7b win brown paper bag -awards Shorewall -1.4.7c released.

- -
    -
  1. The saga with "<zone>_frwd" chains continues. The 1.4.7c -script produces a ruleset that should work for everyone even if it -is not quite optimal. My apologies for this ongoing mess.
    -
    2. -
- -

10/24/2003 - Shorewall 1.4.7b

- -

This is a bugfx rollup of the 1.4.7a fixes plus:
-

- -
    -
  1. The fix for problem 5 in 1.4.7a was wrong with the result that -"<zone>_frwd" chains might contain too few rules. That wrong -code is corrected in this release.
    -
    2. -
- -

10/21/2003 - Shorewall 1.4.7a

- -

This is a bugfix rollup of the following problem -corrections:
-

- -
    -
  1. Tuomo Soini has supplied a correction to a problem that occurs -using some versions of 'ash'. The symptom is that "shorewall start" -fails with:

    -   local: --limit: bad variable name
    -   iptables v1.2.8: Couldn't load match -`-j':/lib/iptables/libipt_-j.so:
    -   cannot open shared object file: No such file or -directory
    -   Try `iptables -h' or 'iptables --help' for more -information.
    -
    -
    2. - -
  2. Andres Zhoglo has supplied a correction that avoids trying to -use the multiport match iptables facility on ICMP rules.

    -   Example of rule that previously caused "shorewall -start" to fail:

    -           -ACCEPT      loc  $FW  -icmp    0,8,11,12
    -
    -
    3. - -
  3. Previously, if the following error message was issued, -Shorewall was left in an inconsistent state.

    -   Error: Unable to determine the routes through -interface xxx
    -
    -
    4. - -
  4. Handling of the LOGUNCLEAN option in shorewall.conf has been -corrected.
    5. - -
  5. In Shorewall 1.4.2, an optimization was added. This -optimization involved creating a chain named "<zone>_frwd" -for most zones defined using the /etc/shorewall/hosts file. It has -since been discovered that in many cases these new chains contain -redundant rules and that the "optimization" turns out to be less -than optimal. The implementation has now been corrected.
    6. - -
  6. When the MARK value in a tcrules entry is followed by ":F" or -":P", the ":F" or ":P" was previously only applied to the first -Netfilter rule generated by the entry. It is now applied to all -entries.
    -
    7. -
- -

More News

- -

-"(Leaf Jacques Nilo and Eric Wolzak have a LEAF -(router/firewall/gateway on a floppy, CD or compact flash) -distribution called Bering that features Shorewall-1.4.2 and -Kernel-2.4.20. You can find their work at: http://leaf.sourceforge.net/devel/jnilo
- -

- -Congratulations to Jacques and Eric on the recent release of -Bering 1.2!!!
-
- - -
-
-"(Protected
-
- -

Donations

- -

(Starlight Logo)
- Shorewall is free but if you try it and find it useful, -please consider making a donation to Starlight Children's Foundation. -Thanks!
-

-
-
-
- -

Updated 12/07/2003 - Tom -Eastep
-

- - - + + + + + + Shoreline Firewall (Shorewall) 1.4 + + + + +

Site Problem

The server that normally hosts + www.shorewall.net and ftp.shorewall.net is currently down. Until it is back + up, a small server with very limited bandwidth is being used temporarly. You + will likely experience better response time from the Sourceforge site + or from one of the other mirrors. Sorry + for the inconvenience.

Introduction to Shorewall

+

This is the Shorewall 1.4 Web Site

The information on this site + applies only to 1.4.x releases of Shorewall. For older versions:
+ +

Glossary

  • Netfilter - + the packet filter facility built into the 2.4 and later Linux kernels.
  • ipchains + - the packet filter facility built into the 2.2 Linux kernels. Also the name + of the utility program used to configure and control that facility. + Netfilter can be used in ipchains compatibility mode.
  • iptables - the + utility program used to configure and control Netfilter. The term + 'iptables' is often used to refer to the combination of + iptables+Netfilter (with Netfilter not in ipchains compatibility mode).
+

What is Shorewall?

The Shoreline Firewall, more commonly known as + "Shorewall", is high-level tool for configuring Netfilter. You + describe your firewall/gateway requirements using entries in a set of + configuration files. Shorewall reads those configuration files and with the + help of the iptables utility, Shorewall configures Netfilter to match your + requirements. Shorewall can be used on a dedicated firewall system, a + multi-function gateway/router/server or on a standalone GNU/Linux system. + Shorewall does not use Netfilter's ipchains compatibility mode and can + thus take advantage of Netfilter's connection state tracking + capabilities.

Shorewall is not a daemon. Once Shorewall has + configured Netfilter, it's job is complete although the /sbin/shorewall program can be + used at any time to monitor the Netfilter firewall.

Getting + Started with Shorewall

New to Shorewall? Start by selecting the QuickStart Guide that most closely + match your environment and follow the step by step instructions.
+

Looking for Information?

The Documentation Index + is a good place to start as is the Quick Search in the frame above. +

License

This program is free software; you can redistribute it + and/or modify it under the terms of Version 2 of the GNU General + Public License as published by the Free Software Foundation.
+

This program is distributed in the hope that it will be useful, but + WITHOUT ANY WARRANTY; without even the implied warranty of MERCHANTABILITY + or FITNESS FOR A PARTICULAR PURPOSE. See the GNU General Public License for + more detail.

You should have received a copy of the GNU General + Public License along with this program; if not, write to the Free Software + Foundation, Inc., 675 Mass Ave, Cambridge, MA 02139, USA

Permission is + granted to copy, distribute and/or modify this document under the terms of + the GNU Free Documentation License, Version 1.2 or any later version + published by the Free Software Foundation; with no Invariant Sections, with + no Front-Cover, and with no Back-Cover Texts. A copy of the license is + included in the section entitled "GNU Free Documentation License".

Copyright + © 2001-2003 Thomas M. Eastep

Running Shorewall on Mandrake with a + two-interface setup?

If so, the documentation on this site will + not apply directly to your setup. If you want to use the documentation that + you find here, you will want to consider uninstalling what you have and + installing a setup that matches the documentation on this site. See the Two-interface QuickStart Guide for details.
+

News

12/07/2003 - Shorewall 1.4.9 Beta 1 (New)

+

Problems Corrected since version 1.4.8:

  1. There has been + a low continuing level of confusion over the terms "Source NAT" + (SNAT) and "Static NAT". To avoid future confusion, all instances of + "Static NAT" have been replaced with "One-to-one NAT" in the + documentation and configuration files.
  2. The description of NEWNOTSYN + in shorewall.conf has been reworded for clarity.
  3. Wild-card rules + (those involving "all" as SOURCE or DEST) will no longer produce an + error if they attempt to add a rule that would override a NONE policy. The + logic for expanding these wild-card rules now simply skips those + (SOURCE,DEST) pairs that have a NONE policy.

Migration Issues:
+     None.

New Features:

  1. To + cut down on the number of "Why are these ports closed rather than + stealthed?" questions, the SMB-related rules in + /etc/shorewall/common.def have been changed from 'reject' to + 'DROP'.
  2. For easier identification, packets logged under the + 'norfc1918' interface option are now logged out of chains named + 'rfc1918'. Previously, such packets were logged under chains named + 'logdrop'.
  3. Distributors and developers seem to be regularly + inventing new naming conventions for kernel modules. To avoid the need to + change Shorewall code for each new convention, the MODULE_SUFFIX option has + been added to shorewall.conf. MODULE_SUFFIX may be set to the suffix for + module names in your particular distribution. If MODULE_SUFFIX is not set in + shorewall.conf, Shorewall will use the list "o gz ko o.gz".
    +
    To see what suffix is used by your distribution:

    ls + /lib/modules/$(uname -r)/kernel/net/ipv4/netfilter

    All of the + files listed should have the same suffix (extension). Set MODULE_SUFFIX to + that suffix.

    Examples:

    +      If all files end in ".kzo" then set + MODULE_SUFFIX="kzo"
         If all + files end in ".kz.o" then set MODULE_SUFFIX="kz.o"
  4. Support + for user defined rule ACTIONS has been implemented through two new files:
    +
    /etc/shorewall/actions - used to list the user-defined ACTIONS.
    + /etc/shorewall/action.template - For each user defined <action>, + copy this file to /etc/shorewall/action.<action> and add the + appropriate rules for that <action>. Once an <action> has + been defined, it may be used like any of the builtin ACTIONS (ACCEPT, DROP, + etc.) in /etc/shorewall/rules.

    Example: You want an action that + logs a packet at the 'info' level and accepts the connection.
    +
    In /etc/shorewall/actions, you would add:

    +      LogAndAccept

    You would then + copy /etc/shorewall/action.template to /etc/shorewall/LogAndAccept and in + that file, you would add the two rules:
    +         LOG:info
    +         ACCEPT
    +

12/03/2003 - Support Torch Passed (New)

+ Effective today, I am reducing my participation in the day-to-day support of + Shorewall. As part of this shift to community-based Shorewall support a new + Shorewall + Newbies mailing list has been established to field questions and + problems from new users. I will not monitor that list personally. I will + continue my active development of Shorewall and will be available via the + development list to handle development issues -- Tom.

11/07/2003 - + Shorewall 1.4.8

 Problems Corrected since version + 1.4.7:

  1. Tuomo Soini has supplied a correction to a problem + that occurs using some versions of 'ash'. The symptom is that + "shorewall start" fails with:
     
       + local: --limit: bad variable name
       iptables v1.2.8: + Couldn't load match `-j':/lib/iptables/libipt_-j.so:
    +    cannot open shared object file: No such file or directory
    +    Try `iptables -h' or 'iptables --help' for more + information.
  2. Andres Zhoglo has supplied a correction that avoids + trying to use the multiport match iptables facility on ICMP rules.
    +  
       Example of rule that previously caused + "shorewall start" to fail:
     
    +            + ACCEPT      loc  $FW  + icmp    0,8,11,12

  3. Previously, if + the following error message was issued, Shorewall was left in an + inconsistent state.
     
       Error: Unable to + determine the routes through interface xxx

  4. Handling of + the LOGUNCLEAN option in shorewall.conf has been corrected.
  5. In + Shorewall 1.4.2, an optimization was added. This optimization involved + creating a chain named "<zone>_frwd" for most zones defined + using the /etc/shorewall/hosts file. It has since been discovered that in + many cases these new chains contain redundant rules and that the + "optimization" turns out to be less than optimal. The implementation + has now been corrected.
  6. When the MARK value in a tcrules entry is + followed by ":F" or ":P", the ":F" or ":P" + was previously only applied to the first Netfilter rule generated by the + entry. It is now applied to all entries.
  7. An incorrect comment + concerning Debian's use of the SUBSYSLOCK option has been removed from + shorewall.conf.
  8. Previously, neither the 'routefilter' + interface option nor the ROUTE_FILTER parameter were working properly. This + has been corrected (thanks to Eric Bowles for his analysis and patch). The + definition of the ROUTE_FILTER option has changed however. Previously, + ROUTE_FILTER=Yes was documented as enabling route filtering on all + interfaces (which didn't work). Beginning with this release, setting + ROUTE_FILTER=Yes will enable route filtering of all interfaces brought up + while Shorewall is started. As a consequence, ROUTE_FILTER=Yes can coexist + with the use of the 'routefilter' option in the interfaces file.
  9. If + MAC verification was enabled on an interface with a /32 address and a + broadcast address then an error would occur during startup.
  10. he NONE + policy's intended use is to suppress the generating of rules that + can't possibly be traversed. This means that a policy of NONE is + inappropriate where the source or destination zone is $FW or "all". + Shorewall now generates an error message if such a policy is given in + /etc/shorewall/policy. Previously such a policy caused "shorewall + start" to fail.
  11. The 'routeback' option was broken for + wildcard interfaces (e.g., "tun+"). This has been corrected so that + 'routeback' now works as expected in this case.
+ Migration Issues:
  1. The definition of the ROUTE_FILTER option in + shorewall.conf has changed as described in item 8) above.
+ New Features:
  1. A new QUEUE action has been introduced for + rules. QUEUE allows you to pass connection requests to a user-space filter + such as ftwall (http://p2pwall.sourceforge.net). The ftwall program allows + for effective filtering of p2p applications such as Kazaa. For example, to + use ftwall to filter P2P clients in the 'loc' zone, you would add + the following rules:

       QUEUE   + loc         + net    tcp
       QUEUE   + loc         + net    udp
       QUEUE   + loc         + fw     udp

    You would normally want + to place those three rules BEFORE any ACCEPT rules for loc->net udp or + tcp.

    Note: When the protocol specified is TCP ("tcp", + "TCP" or "6"), Shorewall will only pass connection requests + (SYN packets) to user space. This is for compatibility with ftwall.
  2. A + BLACKLISTNEWNONLY option has been added to shorewall.conf. When this option + is set to "Yes", the blacklists (dynamic and static) are only + consulted for new connection requests. When set to "No" (the default + if the variable is not set), the blacklists are consulted on every packet.
    +
    Setting this option to "No" allows blacklisting to stop + existing connections from a newly blacklisted host but is more expensive in + terms of packet processing time. This is especially true if the blacklists + contain a large number of entries.
  3. Chain names used in the + /etc/shorewall/accounting file may now begin with a digit ([0-9]) and may + contain embedded dashes ("-").

10/26/2003 - + Shorewall 1.4.7a and 1.4.7b win brown paper bag awards Shorewall + 1.4.7c released.

  1. The saga with "<zone>_frwd" + chains continues. The 1.4.7c script produces a ruleset that should work for + everyone even if it is not quite optimal. My apologies for this ongoing + mess.

10/24/2003 - Shorewall 1.4.7b

This is + a bugfx rollup of the 1.4.7a fixes plus:

  1. The fix for + problem 5 in 1.4.7a was wrong with the result that + "<zone>_frwd" chains might contain too few rules. That wrong + code is corrected in this release.

10/21/2003 - + Shorewall 1.4.7a

This is a bugfix rollup of the following problem + corrections:

  1. Tuomo Soini has supplied a correction to a + problem that occurs using some versions of 'ash'. The symptom is + that "shorewall start" fails with:
     
    +    local: --limit: bad variable name
       + iptables v1.2.8: Couldn't load match + `-j':/lib/iptables/libipt_-j.so:
       cannot open + shared object file: No such file or directory
       Try + `iptables -h' or 'iptables --help' for more information.
    +
  2. Andres Zhoglo has supplied a correction that avoids trying to + use the multiport match iptables facility on ICMP rules.
     
    +    Example of rule that previously caused "shorewall + start" to fail:
     
    +            + ACCEPT      loc  $FW  + icmp    0,8,11,12

  3. Previously, if + the following error message was issued, Shorewall was left in an + inconsistent state.
     
       Error: Unable to + determine the routes through interface xxx

  4. Handling of + the LOGUNCLEAN option in shorewall.conf has been corrected.
  5. In + Shorewall 1.4.2, an optimization was added. This optimization involved + creating a chain named "<zone>_frwd" for most zones defined + using the /etc/shorewall/hosts file. It has since been discovered that in + many cases these new chains contain redundant rules and that the + "optimization" turns out to be less than optimal. The implementation + has now been corrected.
  6. When the MARK value in a tcrules entry is + followed by ":F" or ":P", the ":F" or ":P" + was previously only applied to the first Netfilter rule generated by the + entry. It is now applied to all entries.

More News

(Leaf Logo) Jacques Nilo and Eric Wolzak + have a LEAF (router/firewall/gateway on a floppy, CD or compact flash) + distribution called Bering that features Shorewall-1.4.2 and + Kernel-2.4.20. You can find their work at: http://leaf.sourceforge.net/devel/jnilo
+

Congratulations to Jacques and Eric on the recent release of + Bering 1.2!!!
(Protected by Shorewall)
+

Donations

(Starlight Logo)
+ Shorewall is free but if you try it and find it useful, please consider + making a donation to Starlight + Children's Foundation. Thanks!

+

Updated 12/21/2003 - Tom + Eastep

+ \ No newline at end of file diff --git a/Shorewall-docs/standalone_fr.html b/Shorewall-docs/standalone_fr.html deleted file mode 100755 index fa5380532..000000000 --- a/Shorewall-docs/standalone_fr.html +++ /dev/null @@ -1,426 +0,0 @@ - - - - - - - - Standalone Firewall - - -

Standalone Firewall

-

Notes du traducteur :
-Je ne prétends pas être un vrai traducteur dans le sens ou mon travail -n'est pas des plus précis (loin de là...). Je ne me suis pas attaché à -une traduction exacte du texte, mais plutôt à en faire une version -française intelligible -par tous (et par moi). Les termes techniques sont la plupart du temps -conservés -sous leur forme originale et mis entre parenthèses car vous pouvez les -retrouver -dans le reste des documentations ainsi que dans les fichiers de -configuration. -N?hésitez pas à me contacter afin d?améliorer ce document VETSEL Patrice (merci à -JMM -pour sa relecture et ses commentaires pertinents, ainsi qu'à Tom EASTEP -pour -son formidable outil et sa disponibilité).

-

Mettre en place un système Linux en tant que firewall -(écluse) pour un petit réseau est une chose assez simple, si vous -comprenez les bases et suivez la documentation.

-

Ce guide ne veut pas vous apprendre tous les rouages de Shorewall. -Il -se focalise sur ce qui est nécessaire pour configurer Shorewall, dans -son -utilisation la plus courante :

- -

Ce guide suppose que vous avez le paquet iproute/iproute2 -d'installé. -Vous pouvez voir si le paquet est installé en vérifiant la présence du -programme ip sur votre système de firewall. Sous root, utilisez la -commande 'which' pour rechercher le programme :

-
     [root@gateway root]# which ip
     /sbin/ip
     [root@gateway root]#
-

Je vous recommande dans un premier temps de parcourir tout le guide -pour vous familiariser avec ce qu'il va se passer, et de revenir au -début en -effectuant le changements dans votre configuration. Les points, où les -changements -dans la configuration sont recommandées, sont signalés par une .

-

Si -vous éditez vos fichiers de configuration sur un système Windows, vous -devez les sauver comme des fichiers Unix si votre éditeur supporte -cette option sinon vous devez les faire passer par dos2unix avant -d'essayer de les -utiliser. De la même manière, si vous copiez un fichier de -configuration depuis -votre disque dur Windows vers une disquette, vous devez lancer dos2unix -sur -la copie avant de l'utiliser avec Shorewall.

- -

Les Concepts de Shorewall

-

Les fichiers de configuration pour Shorewall sont situés dans -le répertoire /etc/shorewall -- pour de simples paramétrages, vous -n'avez à faire qu'avec quelques un d'entre eux comme décris dans ce -guide. Après avoir installé Shorewall, téléchargez -le one-interface -sample, un-tarez le (tar -zxvf one-interface.tgz) et copiez les -fichiers vers /etc/shorewall (Ils remplaceront les fichiers de même nom -déjà existant dans /etc/shorewall installés lors de l'installation de -Shorewall).

-

Parallèlement à la description, je vous suggère de jeter un oeil à -ceux physiquement présents sur votre système -- chacun des fichiers -contient -des instructions de configuration détaillées et des entrées par défaut.

-

Shorewall voit le réseau où il tourne comme composé par un ensemble -de zones. Dans les fichiers de configuration fournis pour une -unique -interface, une seule zone est définie :

- - - - - - - - - - - -
NameDescription
netThe Internet
-

Les zones de Shorewall sont définies dans /etc/shorewall/zones.

-

Shorewall reconnaît aussi le système de firewall comme sa propre -zone -- par défaut, le firewall lui-même est connu en tant que fw.

-

Les règles concernant le trafic à autoriser ou à interdire sont -exprimées en utilisant les termes de zones.

- -

Pour chacune des demandes de connexion entrantes dans le firewall, -les demandes sont en premier lieu comparées par rapport au fichier -/etc/shorewall/rules. Si aucune des règles dans ce fichier ne -correspondent, alors la première -politique dans /etc/shorewall/policy qui y correspond est appliquée. Si -cette -politique est REJECT ou DROP la requête est alors comparée par rapport -aux -règles contenues dans /etc/shorewall/common (l'archive d'exemple vous -fournit -ce fichier).

-

Le fichier /etc/shorewall/policy d'exemple contenu dans l'archive -one-interface a les politiques suivantes :

-
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
SOURCE ZONEDESTINATION ZONEPOLICYLOG LEVELLIMIT:BURST
fwnetACCEPT
-
-
netall
- 		DROPinfo
-
allallREJECTinfo
-
-
-
-Ces politiques vont : -
    -
  1. permettre toutes demandes de connexion depuis le firewall vers -l'Internet
    2. -
  2. drop (ignorer) toutes les demandes de connexion depuis l'Internet -vers votre firewall
    3. -
  3. rejeter toutes les autres requêtes de connexion (Shorewall à -besoin de cette politique).
    4. -
-

A ce point, éditez votre /etc/shorewall/policy et faites y les -changements que vous désirez.

-

Interface Externe

-

Le firewall possède une seule interface réseau. Lorsque -la connexion Internet passe par un modem câble ou par un routeur ADSL -(pas -un simple modem), l'External Interface (interface externe) sera -l'adaptateur ethernet (eth0) qui y est connecté à moins que -vous vous connectiez par Point-to-Point Protocol -over Ethernet (PPPoE) ou Point-to-Point TunnelingProtocol(PPTP) -dans ce cas l'interface externe sera ppp0. Si vous vous -connectez par un simple modem (RTC), votre interface externe sera aussi -ppp0. Si vous vous connectez en utilisant l'ISDN (numéris), -votre interface externe sera ippp0.

-

L'exemple de configuration de Shorewall pour une -interface suppose que votre interface externe est eth0. Si -votre configuration est différente, vous devrez modifier le fichier -d'exemple /etc/shorewall/interfaces en conséquence. Puisque vous y -êtes, vous pourriez parcourir la liste d'options qui sont spécifiées -pour l'interface. Quelques astuces :

- -
-

Adresse IP

-
-
-

La RFC 1918 définie plusieurs plage d'adresses IP -privée -(PrivateIP) pour l'utilisation dans des réseaux privés :

-
-
     10.0.0.0    - 10.255.255.255
     172.16.0.0  - 172.31.255.255
     192.168.0.0 - 192.168.255.255
-
-

Ces adresses sont parfois désignées comme étant non-routables -car les routeurs sur les backbones Internet ne font pas passer les -paquets dont les adresses de destinations sont définies dans la RFC -1918. Dans certains cas, les fournisseurs (provider ou ISP) utilisent -ces adresses et utilisent le Network Address Translation afin -de récrire les entêtes des paquets lorsqu'ils les font circuler depuis -ou vers l'Internet.

-

Avant de lancer Shorewall, vous devriez -regarder l'adresse de votre interface externe et si elle est comprise -dans une des plages précédentes, vous devriez enlever l'option -'norfc1918' dans le fichier /etc/shorewall/interfaces.

-
-
-

Permettre d'autres connexions

-
-
-

Si vous désirez autoriser d'autres connexions depuis -l'Internet vers votre firewall, le format général est :

-
-
-
- - - - - - - - - - - - - - - - - - - - - -
ACTIONSOURCEDESTINATIONPROTOCOLPORTSOURCE PORTORIGINAL ADDRESS
ACCEPTnetfw<protocol><port>
-
-
-
-
-
-

Exemple - Vous voulez faire tourner un serveur Web et -un -serveur POP3 sur votre système de firewall :

-
-
-
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
ACTIONSOURCEDESTINATIONPROTOCOLPORTSOURCE PORTORIGINAL ADDRESS
ACCEPTnetfwtcp80
-
-
ACCEPTnetfwtcp110
-
-
-
-
-
-

Si vous ne savez pas quel port ou protocole une -application particulière utilise, regardez ici.

-
-
-

Important: Je ne vous recommande pas -d'autoriser le telnet depuis ou vers l'Internet car il utilise du texte -en clair (même -pour le login et le mot de passe !). Si vous voulez avoir un accès au -shell -de votre firewall depuis Internet, utilisez SSH :

-
-
-
- - - - - - - - - - - - - - - - - - - - - -
ACTIONSOURCEDESTINATIONPROTOCOLPORTSOURCE PORTORIGINAL ADDRESS
ACCEPTnetfwtcp22
-
-
-
-
-
-
     ACCEPT	net	fw	tcp	22
-
-
-

A ce point, éditez /etc/shorewall/rules pour rajouter les -autres connexions désirées.

-
-
-

Lancer et Arrêter son Firewall

-
-
-

Arrow La procédure -d'installation configure votre système pour lancer Shorewall au -boot du système, mais au début avec la version 1.3.9 de Shorewall le -lancement est désactivé, n'essayer pas de lancer Shorewall avec que la -configuration soit finie. Une fois que vous en aurez fini avec la -configuration du firewall, vous pouvez permettre le lancement de -Shorewall en supprimant le fichier /etc/shorewall/startup_disabled.
-

-

IMPORTANT: Les -utilisateurs -des paquets .deb doivent éditer /etc/default/shorewall et mettre -'startup=1'.
-

-
-
-

Le firewall est activé en utilisant la commande -"shorewall start" et arrêté avec "shorewall stop". Lorsque le firewall -est stoppé, -le routage est autorisé sur les hôtes qui possèdent une entrée dans /etc/shorewall/routestopped. -Un firewall qui tourne peut être relancé en utilisant la commande -"shorewall restart". Si vous voulez enlever toutes traces de Shorewall -sur votre -configuration de Netfilter, utilisez "shorewall clear".

-
-
-

ATTENTION: Si vous êtes connecté à votre -firewall -depuis Internet, n'essayez pas une commande "shorewall stop" tant que -vous -n'avez pas ajouté une entrée pour votre adresse IP (celle à partir de -laquelle -vous êtes connectée) dans /etc/shorewall/routestopped. -De la même manière, je ne vous recommande pas d'utiliser "shorewall -restart"; il est plus intéressant de créer une configuration alternative -et de la tester en utilisant la commande "shorewall try".

-
-

Last updated 12/9/2002 - Tom Eastep

-

Copyright 2002 -Thomas M. Eastep

-
-
-
-
-
-
-
-
-
-
- - diff --git a/Shorewall-docs/standalone_fr.xml b/Shorewall-docs/standalone_fr.xml new file mode 100755 index 000000000..310611352 --- /dev/null +++ b/Shorewall-docs/standalone_fr.xml @@ -0,0 +1,460 @@ + + +
+ + Standalone Firewall + + + + Tom + + Eastep + + + + 2003-12-08 + + + 2001-2003 + + Thomas M. Eastep + + + + Permission is granted to copy, distribute and/or modify this + document under the terms of the GNU Free Documentation License, Version + 1.2 or any later version published by the Free Software Foundation; with + no Invariant Sections, with no Front-Cover, and with no Back-Cover + Texts. A copy of the license is included in the section entitled "GNU Free Documentation License". + + + + + Notes du traducteur : Je ne + prétends pas être un vrai traducteur dans le sens ou mon travail n'est + pas des plus précis (loin de là...). Je ne me suis pas attaché à une + traduction exacte du texte, mais plutôt à en faire une version française + intelligible par tous (et par moi). Les termes techniques sont la plupart + du temps conservés sous leur forme originale et mis entre parenthèses car + vous pouvez les retrouver dans le reste des documentations ainsi que dans + les fichiers de configuration. N'hésitez pas à me contacter afin + d?améliorer ce document VETSEL + Patrice (merci à JMM pour sa relecture et ses commentaires + pertinents, ainsi qu'à Tom EASTEP pour son formidable outil et sa + disponibilité). + + +
+ Introduction + + Mettre en place un système Linux en tant que firewall (écluse) pour + un petit réseau est une chose assez simple, si vous comprenez les bases et + suivez la documentation. + + Ce guide ne veut pas vous apprendre tous les rouages de Shorewall. + Il se focalise sur ce qui est nécessaire pour configurer Shorewall, dans + son utilisation la plus courante : + + + + Un système Linux + + + + Une seule adresse IP externe + + + + Une connexion passant par un modem câble, ADSL, ISDN, Frame + Relay, rtc... + + + + Ce guide suppose que vous avez le paquet iproute/iproute2 + d'installé. Vous pouvez voir si le paquet est installé en vérifiant la + présence du programme ip sur votre système de firewall. Sous root, + utilisez la commande 'which' pour rechercher le programme : + + [root@gateway root]# which ip + /sbin/ip + [root@gateway root]# + + + Je vous recommande dans un premier temps de parcourir tout le guide + pour vous familiariser avec ce qu'il va se passer, et de revenir au + début en effectuant le changements dans votre configuration. Les points, + où les changements dans la configuration sont recommandées, sont signalés + par une + + Si vous éditez vos + fichiers de configuration sur un système Windows, vous devez les sauver + comme des fichiers Unix si votre éditeur supporte cette option sinon vous + devez les faire passer par dos2unix avant d'essayer de les utiliser. + De la même manière, si vous copiez un fichier de configuration depuis + votre disque dur Windows vers une disquette, vous devez lancer dos2unix + sur la copie avant de l'utiliser avec Shorewall. + + + + Windows + Version of dos2unix + + + + Linux + Version of dos2unix + + +
+ +
+ Les Concepts de Shorewall + + Les fichiers de + configuration pour Shorewall sont situés dans le répertoire /etc/shorewall + -- pour de simples paramétrages, vous n'avez à faire qu'avec + quelques un d'entre eux comme décris dans ce guide. Après avoir installé Shorewall, téléchargez + le + one-interface sample, un-tarez le (tar -zxvf one-interface.tgz) et + copiez les fichiers vers /etc/shorewall (Ils remplaceront les fichiers de + même nom déjà existant dans /etc/shorewall installés lors de + l'installation de Shorewall). + + Parallèlement à la description, je vous suggère de jeter un oeil à + ceux physiquement présents sur votre système -- chacun des fichiers + contient des instructions de configuration détaillées et des entrées par + défaut. + + Shorewall voit le réseau où il tourne comme composé par un ensemble + de zones. Dans les fichiers de configuration fournis pour une unique + interface, une seule zone est définie : + + + /etc/shorewall/zones + + + + + ZONE + + DISPLAY + + + + net + + Internet + + + +
+ + Les zones de Shorewall sont définies dans /etc/shorewall/zones. + + Shorewall reconnaît aussi le système de firewall comme sa propre + zone - par défaut, le firewall lui-même est connu en tant que fw. + + Les règles concernant le trafic à autoriser ou à interdire sont + exprimées en utilisant les termes de zones. + + + /etc/shorewall/policy + + + + + SOURCE ZONE + + DESTINATION ZONE + + POLICY + + LOG LEVEL + + LIMIT:BURST + + + + fw + + net + + ACCEPT + + + + + + + + net + + all + + DROP + + info + + + + + + all + + all + + REJECT + + info + + + + + +
+ + Ces politiques vont : + + + + permettre toutes demandes de connexion depuis le firewall vers + l'Internet + + + + drop (ignorer) toutes les demandes de connexion depuis + l'Internet vers votre firewall + + + + rejeter toutes les autres requêtes de connexion (Shorewall à + besoin de cette politique). + + + + A ce point, éditez + votre /etc/shorewall/policy et faites y les changements que vous désirez. +
+ +
+ Interface Externe + + Le firewall possède une seule interface réseau. Lorsque la connexion + Internet passe par un modem câble ou par un routeur ADSL (pas un simple + modem), l'External Interface (interface externe) sera l'adaptateur + ethernet (eth0) qui y est connecté à + moins que vous vous connectiez par Point-to-Point Protocol over Ethernet + (PPPoE) ou Point-to-Point TunnelingProtocol(PPTP) dans ce cas + l'interface externe sera ppp0. Si + vous vous connectez par un simple modem (RTC), votre interface externe + sera aussi ppp0. Si vous vous connectez + en utilisant l'ISDN (numéris), votre interface externe sera ippp0. + + L'exemple de + configuration de Shorewall pour une interface suppose que votre interface + externe est eth0. Si votre configuration + est différente, vous devrez modifier le fichier d'exemple + /etc/shorewall/interfaces en conséquence. Puisque vous y êtes, vous + pourriez parcourir la liste d'options qui sont spécifiées pour + l'interface. Quelques astuces : + + + + Si votre interface externe est ppp0 + ou ippp0, vous pouvez remplacer le + "detect" dans la seconde colonne par un "-". + + + + Si votre interface externe est ppp0 + ou ippp0 ou bien si vous avez une + adresse IP statique, vous pouvez enlever le "dhcp" de la liste + d'option. + + +
+ +
+ Adresse IP + + La RFC 1918 définie plusieurs plage d'adresses IP privée + (PrivateIP) pour l'utilisation dans des réseaux privés : + + 10.0.0.0 - 10.255.255.255 + 172.16.0.0 - 172.31.255.255 + 192.168.0.0 - 192.168.255.255 + + Ces adresses sont parfois désignées comme étant non-routables car + les routeurs sur les backbones Internet ne font pas passer les paquets + dont les adresses de destinations sont définies dans la RFC 1918. Dans + certains cas, les fournisseurs (provider ou ISP) utilisent ces adresses et + utilisent le Network Address Translation afin de récrire les entêtes des + paquets lorsqu'ils les font circuler depuis ou vers l'Internet. + + Avant de lancer + Shorewall, vous devriez regarder l'adresse de votre interface externe + et si elle est comprise dans une des plages précédentes, vous devriez + enlever l'option 'norfc1918' dans le fichier + /etc/shorewall/interfaces. +
+ +
+ Permettre d'autres connexions + + Si vous désirez autoriser d'autres connexions depuis + l'Internet vers votre firewall, le format général est :/etc/shorewall/rulesACTIONSOURCEDESTINATIONPROTOCOLPORTSOURCE PORTORIGINAL + DESTACCEPTnetfw<protocol><port>
 + + Exemple - Vous voulez faire tourner un serveur Web et un serveur + POP3 sur votre système de firewall : + + + /etc/shorewall/rules + + + + + ACTION + + SOURCE + + DESTINATION + + PROTOCOL + + PORT + + SOURCE PORT + + ORIGINAL DEST + + + + ACCEPT + + net + + fw + + tcp + + 80 + + + + + + + + ACCEPT + + net + + fw + + tcp + + 110 + + + + + + + +
+ + Si vous ne savez pas quel port ou protocole une application + particulière utilise, regardez ici. + Important: Je ne vous recommande pas + d'autoriser le telnet depuis ou vers l'Internet car il utilise du + texte en clair (même pour le login et le mot de passe !). Si vous voulez + avoir un accès au shell de votre firewall depuis Internet, utilisez SSH : + + + /etc/shorewall/rules + + + + + ACTION + + SOURCE + + DESTINATION + + PROTOCOL + + PORT + + SOURCE PORT + + ORIGINAL DEST + + + + ACCEPT + + net + + fw + + tcp + + 22 + + + + + + + +
+ + A ce point, éditez + /etc/shorewall/rules pour rajouter les autres connexions désirées. +
+ +
+ Lancer et Arrêter son Firewall + + La procédure d'installation + configure votre système pour lancer Shorewall au boot du système, mais au + début avec la version 1.3.9 de Shorewall le lancement est désactivé, + n'essayer pas de lancer Shorewall avec que la configuration soit + finie. Une fois que vous en aurez fini avec la configuration du firewall, + vous pouvez permettre le lancement de Shorewall en supprimant le fichier + /etc/shorewall/startup_disabled. + + IMPORTANT: Les utilisateurs des paquets .deb + doivent éditer /etc/default/shorewall et mettre 'startup=1'. + + Le firewall est activé en utilisant la commande "shorewall + start" et arrêté avec "shorewall stop". Lorsque le firewall + est stoppé, le routage est autorisé sur les hôtes qui possèdent une entrée + dans /etc/shorewall/routestopped. + Un firewall qui tourne peut être relancé en utilisant la commande + "shorewall restart". Si vous voulez enlever toutes traces de + Shorewall sur votre configuration de Netfilter, utilisez "shorewall + clear". + + ATTENTION: Si vous êtes connecté à + votre firewall depuis Internet, n'essayez pas une commande + "shorewall stop" tant que vous n'avez pas ajouté une entrée + pour votre adresse IP (celle à partir de laquelle vous êtes connectée) + dans + /etc/shorewall/routestopped. De la même manière, je ne vous + recommande pas d'utiliser "shorewall restart"; il est plus + intéressant de créer une + configuration alternative et de la tester en utilisant la commande + "shorewall try". +
+
\ No newline at end of file diff --git a/Shorewall-docs/two-interface_fr.html b/Shorewall-docs/two-interface_fr.html deleted file mode 100755 index 93f4ea84a..000000000 --- a/Shorewall-docs/two-interface_fr.html +++ /dev/null @@ -1,1339 +0,0 @@ - - - - - Two-Interface Firewall - - - - - - - - -

Basic Two-Interface Firewall

-


-Notes du traducteur :
-Je ne prétends pas être un vrai traducteur dans le sens ou -mon travail n’est pas des plus précis (loin de là...). Je -ne me suis pas attaché à une traduction exacte du texte, -mais plutôt -à en faire une version française intelligible par tous -(et -par moi). Les termes techniques sont la plupart du temps -conservés sous leur forme originale et mis entre -parenthèses car vous pouvez les retrouver dans le reste des -documentations ainsi que dans les fichiers de configuration. -N’hésitez pas à me contacter afin d’améliorer ce -document VETSEL Patrice -(merci à JMM pour sa relecture et ses commentaires pertinents, -ainsi qu'à Tom EASTEP pour son formidable outil et sa -disponibilité).
-
-

-

Mettre en place un système Linux en tant que -firewall pour un petit réseau est une chose assez simple, si -vous comprenez les bases et suivez la documentation.

-

Ce guide ne veut pas vous apprendre tous les rouages de Shorewall. -Il -se focalise sur ce qui est nécessaire pour configurer Shorewall, -dans son utilisation la plus courante :

- -

Voici un schéma d'une installation typique.

-

-

Si vous faites tourner Shorewall sous Mandrake 9.0 ou plus -récent, vous pouvez facilement réaliser la configuration -ci-dessus en utilisant l'applet Mandrake "Internet Connection Sharing". -Depuis le "Mandrake Control Center", sélectionnez "Network & -Internet" et "Connection Sharing". Vous ne devriez pas avoir besoin de -vous référer à -ce guide.

-

Ce guide suppose que vous avez le paquet iproute/iproute2 -d'installé. Vous pouvez voir si le paquet est -installé en vérifiant la présence du programme ip -sur votre système de firewall. -Sous root, utilisez la commande 'which' pour rechercher le programme :

-
     [root@gateway root]# which ip
     /sbin/ip
     [root@gateway root]#
-

Je vous recommande dans un premier temps de parcourir tout le guide -pour vous familiariser avec ce qui va se passer, et de revenir au -début en effectuant le changements dans votre configuration. Les -points où, les changements dans la configuration sont -recommandées, sont signalés par une .

-

    Si vous -éditez vos fichiers de configuration -sur un système Windows, vous devez les sauver comme des fichiers -Unix si votre éditeur offre cette option sinon vous devez les -faire -passer par dos2unix avant d'essayer de les utiliser. De la même -manière, si vous copiez un fichier de configuration depuis votre -disque dur Windows vers une disquette, vous devez lancer dos2unix sur -la copie avant de l'utiliser avec Shorewall.

- -

Les Concepts de Shorewall

-

    Les fichiers de -configuration pour Shorewall sont dans le répertoire -/etc/shorewall -- pour de simples configurations, vous n'aurez -seulement à faire qu'avec quelques fichiers comme décrit -dans ce guide. Après avoir installé -Shorewall, -télé chargez le two-interface -sample, un-tarez le (tar -zxvf two-interfaces.tgz) et copiez les -fichiers vers /etc/shorewall (ces fichiers remplaceront les fichiers de -même nom).

-

Parallèlement à la présentation de chacun des -fichiers, je vous suggère de regarder le fichier qui se trouve -réellement sur votre système -- tous les fichiers -contiennent des instructions de configuration détaillées -et des valeurs par défaut.

-

Shorewall voit le réseau où il tourne, comme un -ensemble de zones. Dans une configuration avec deux interfaces, -les noms des zones suivantes sont utilisés:

- - - - - - - - - - - - - - - - -
-

Nom

- 		-

Description

-
-

net

- 		-

Internet

-
-

loc

- 		-

Votre réseau local

-
-

Les zones sont définies dans le fichier/etc/shorewall/zones .

-

Shorewall reconnaît aussi le système de firewall comme -sa propre zone - par défaut, le firewall est connu comme fw.

-

Les règles à propos de quel trafic autoriser, et de -quel trafic interdire sont exprimées en terme de zones.

- -

Pour chaque connexion demandant à entrer dans le firewall, la -requête est en premier lieu comparée par rapport au -fichier /etc/shorewall/rules. Si aucune règle dans ce fichier ne -correspond à la demande -de connexion alors la première politique dans le fichier -/etc/shorewall/policy qui y correspond sera appliquée. Si cette -politique est REJECT ou -DROP  la requête est dans un premier temps comparée -par -rapport aux règles contenues dans /etc/shorewall/common.

-

Le fichier /etc/shorewall/policy inclue dans l'archive d'exemple -(two-interface) a les politiques suivantes:

- -
-
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
-

Source Zone

- 		-

Destination Zone

- 		-

Policy

- 		-

Log Level

- 		-

Limit:Burst

-
-

loc

- 		-

net

- 		-

ACCEPT

- 		-

 

- 		-

 

-
-

net

- 		-

all

- 		-

DROP

- 		-

info

- 		-

 

-
-

all

- 		-

all

- 		-

REJECT

- 		-

info

- 		-

 

-
-
-
-
Dans le fichier d'exemple (two-interface), la ligne -suivante -est inclue mais elle est commentée. Si vous voulez que votre -firewall -puisse avoir un accès complet aux serveurs sur Internet, -décommentez la ligne.
- -
-
- - - - - - - - - - - - - - - - - -
-

Source Zone

- 		-

Destination Zone

- 		-

Policy

- 		-

Log Level

- 		-

Limit:Burst

-
-

fw

- 		-

net

- 		-

ACCEPT

- 		-

 

- 		-

 

-
-
-
-

Ces politiques vont:

-
    -
  1. -

    permettre toutes les demandes de -connexion depuis votre réseau local vers l'Internet

    -
    2. -
  2. -

    drop (ou ignorer) toutes les -demandes de connexion depuis l'Internet vers votre firewall ou votre -réseau local.

    -
    3. -
  3. -

    Facultativement accepter toutes -les demandes de connexion de votre firewall vers l'Internet (si vous -avez -dé commenté la politique additionnelle)

    -
    4. -
  4. -

    reject (rejeter) toutes les autres demandes de connexion.

    -
    5. -
-

    A ce point, -éditez votre fichier /etc/shorewall/policy et faite les -changements que vous désirez.

-

Network Interfaces

-

-

Le firewall a deux interfaces de réseau. Lorsque -la connexion Internet passe par le câble ou par un ROUTEUR (pas -un simple modem) ADSL (non USB), l'interface vers l'extérieur (External -Interface) sera l'adaptateur sur lequel est connecté le -routeur -(e.g., eth0à moins que vous ne vous -connectiez -par Point-to-PointProtocol overEthernet -(PPPoE) ou par Point-to-PointTunnelingProtocol(PPTP), -dans ce cas l'interface extérieure sera une interface de type -ppp (e.g., ppp0). Si vous vous connectez par un simple modem -(RTC), votre interface extérieure sera aussi ppp0. Si -votre connexion passe par Numéris (ISDN), votre interface -extérieure seraippp0.

-

    -Si votre interface vers l'extérieur estppp0 ou ippp0  -alors vous mettrez CLAMPMSS=yes dans /etc/shorewall/shorewall.conf.

-

Votre Internal Interface (interface vers votre -réseau local -> LAN) sera un adaptateur Ethernet (eth1 ou -eth0) et sera connectée à un hub ou switch (ou un PC avec -un câble croisé). -Vos autres ordinateurs seront connectés à ce même -hub/switch

-

Ne -connectez pas l'interface interne et externe sur le même hub ou -switch (même pour tester). Cela ne fonctionnera pas et ne croyez -pas que ce soit shorewall qui ne marche pas.

-

    Le -fichier de configuration d'exemple pour deux interfaces suppose que -votre interface externe est eth0et que l'interne est -eth1. Si votre configuration est différente, vous devrez -modifier -le fichier /etc/shorewall/interfaces -en conséquence. Tant que vous y êtes, vous pourriez -parcourir -la liste des options qui sont spécifiées pour les -interfaces. -Quelques trucs:

- -

Adresses IP

-

Avant d'aller plus loin, nous devons dire quelques mots -au sujet de Internet Protocol (IP) addresses. Normalement, -votre fournisseur Internet (ISP) vous assignera une seule adresse IP -(single PublicIP address). Cette adresse peut être -assignée par le Dynamic Host Configuration Protocol(DHCP) -ou lors de l'établissement de -votre connexion lorsque vous vous connectez (modem standard) ou -établissez votre connexion PPP. Dans de rares cas , votre -provider peut vous assigner une adresse statique (staticIP -address); cela signifie que vous devez configurer l'interface externe -de votre firewall afin d'utiliser cette adresse de manière -permanente. Votre adresse externe assignée, elle va être -partagée par tous vos systèmes lors de l'accès -à Internet. Vous devrez assigner vos propres adresses dans votre -réseau -local (votre interface interne sur le firewall  ainsi que les -autres -ordinateurs). La RFC 1918 réserve plusieurs plages d'IP (PrivateIP -address ranges) à cette fin :

-
     10.0.0.0    - 10.255.255.255an
     172.16.0.0  - 172.31.255.255
     192.168.0.0 - 192.168.255.255
-

    -Avant de lancer Shorewall, vous devriez regarder l'adresse IP de votre -interface externe, et si elle est dans les plages -précédentes, vous devriez enlever l'option 'norfc1918' -dans la ligne concernant l'interface externe dans le fichier -/etc/shorewall/interfaces.

-

Vous devrez assigner vos adresses depuis le même -sous-réseau (sub-network/subnet). Pour ce faire, nous -pouvons considérer un sous-réseau dans une plage -d'adresses x.y.z.0 - x.y.z.255. Chaque sous-réseau aura un -masque (Subnet Mask) de 255.255.255.0. -L'adresse x.y.z.0 est réservée comme l'adresse de -sous-réseau -(Subnet Address) et x.y.z.255 est réservée en -tant qu'adresse -de broadcast (Subnet Broadcast Address). Dans Shorewall, -un -sous-réseau est décrit en utilisant la notation Classless -InterDomain Routing (CIDR) qui consiste en l'adresse du -sous-réseau suivie par "/24". Le "24" se réfère au -nombre consécutif de bits marquant "1" dans la partie gauche du -masque de sous-réseau.

-

Un exemple de sous-réseau (sub-network) :

- -
-
- - - - - - - - - - - - - - - - - - - -
-

Plage:

- 		-

10.10.10.0 - 10.10.10.255

-
-

Subnet Address:

- 		-

10.10.10.0

-
-

Broadcast Address:

- 		-

10.10.10.255

-
-

CIDR Notation:

- 		-

10.10.10.0/24

-
-
-
-

Il est de mise d'assigner l'interface interne (LAN) -à la première adresse utilisable du sous-réseau -(10.10.10.1 -dans l'exemple précédent) ou la dernière adresse -utilisable (10.10.10.254).

-

L'un des buts d'un sous-réseau est de permettre -à tous les ordinateurs dans le sous-réseau de savoir avec -quels autres ordinateurs ils peuvent communiquer directement. Pour -communiquer avec des systèmes en dehors du sous-réseau, -les ordinateurs envoient des paquets à travers le gateway -(routeur).

-

    -Vos ordinateurs en local (ordinateur 1 et ordinateur 2 dans le -diagramme) devraient être configurés avec leur passerelle -par défaut (default gateway) pointant sur l'adresse IP de -l'interface -interne du firewall.

-

The foregoing short discussion barely scratches the -surface regarding subnetting and routing. If you are interested in -learning more -about IP addressing and routing, I highly recommend "IP -Fundamentals: -What Everyone Needs to Know about Addressing & Routing", Thomas -A. -Maufer, Prentice-Hall, 1999, ISBN 0-13-975483-0.

-

Le reste de ce guide assumera que vous avez -configuré votre réseau comme montré ci-dessous :

-

-

La passerelle par défaut pour les ordinateurs 1 -et 2 devrait être 10.10.10.254.

-

IP Masquerading (SNAT)

-

Les adresses réservées par la RFC 1918 -sont parfois désignées comme non-routables car -les routeurs Internet (backbone) ne font pas circuler les paquets qui -ont une adresse -de destination appartenant à la RFC-1918. Lorsqu'un de vos -systèmes en local (supposons l'ordinateur1) demande une -connexion à un serveur par Internet, le firewall doit appliquer -un NAT (Network Address Translation). Le firewall ré -écrit l'adresse source dans le paquet, et l'a remplace par -l'adresse de l'interface externe du firewall; en d'autres mots, le -firewall fait croire que c'est lui même qui initie la connexion. -Ceci est nécessaire afin que l'hôte de destination soit -capable de renvoyer les paquets au firewall (souvenez vous que les -paquets qui ont pour adresse de destination, une adresse -réservée par la RFC 1918 ne pourront pas être -routés à travers Internet, -donc l'hôte Internet ne pourra adresser sa réponse -à -l'ordinateur 1). Lorsque le firewall reçoit le paquet de -réponse, -il remet l'adresse de destination à 10.10.10.1 et fait passer le -paquet -vers l'ordinateur 1.

-

Sur les systèmes Linux, ce procédé -est souvent appelé de l'IP Masquerading mais vous verrez -aussi -le terme de Source Network Address Translation (SNAT) -utilisé. Shorewall suit la convention utilisée avec -Netfilter:

- -

Sous Shorewall, autant le Masquerading que le SNAT sont -configuré avec des entrés dans le fichier -/etc/shorewall/masq. Vous utiliserez normalement le Masquerading si -votre adresse IP externe est dynamique, et SNAT si elle est statique.

-

    -Si votre interface externe du firewall est eth0, vous n'avez -pas besoin de modifier le fichier fourni avec l'exemple. Dans le cas -contraire, éditez /etc/shorewall/masq et changez la -première colonne par le nom de votre interface externe, et la -seconde colonne par -le nom de votre interface interne.

-

    -Si votre IP externe est statique, vous pouvez la mettre dans la -troisième colonne dans /etc/shorewall/masq si vous le -désirez, de toutes façons votre firewall fonctionnera -bien si vous laissez -cette colonne vide. Le fait de mettre votre IP statique dans la -troisième colonne permet un traitement des paquets sortant un -peu plus efficace.
-
-     Si vous utilisez les -paquets Debian, vérifiez que votre fichier de configuration -shorewall.conf contient bien les valeurs suivantes, si elles n'y sont -pas faite les changements nécessaires:

- -

Port Forwarding (DNAT)

-

Un de nos buts est de , peut être, faire tourner -un ou plusieurs serveurs sur nos ordinateurs locaux. Parce que ces -ordinateurs on une adresse RFC-1918, il n' est pas possible pour les -clients sur Internet de se connecter directement à eux. Il est -nécessaire à ces clients d'adresser leurs demandes de -connexion au firewall qui ré écrit l'adresse de -destination de votre serveur, et fait passer le paquet à -celui-ci. Lorsque votre serveur répond, le firewall applique -automatiquement un SNAT pour ré écrire l'adresse -source dans la réponse.

-

Ce procédé est appelé Port -Forwarding ou Destination Network Address Translation(DNAT). -Vous configurez -le port forwarding en utilisant les règles DNAT dans le fichier -/etc/shorewall/rules.

-

La forme générale d'une simple règle de port -forwarding dans /etc/shorewall/rules est:

- -
-
- - - - - - - - - - - - - - - - - - - - - -
-

ACTION

- 		-

SOURCE

- 		-

DESTINATION

- 		-

PROTOCOL

- 		-

PORT

- 		-

SOURCE PORT

- 		-

ORIGINAL ADDRESS

-
-

DNAT

- 		-

net

- 		-

loc:<server local ip address> [:<server -port>]

- 		-

<protocol>

- 		-

<port>

- 		-

 

- 		-

 

-
-
-
-

Exemple - vous faites tourner un serveur Web sur l'ordinateur 2 et -vous voulez faire passer les requêtes TCP sur le port 80 à -ce système :

- -
-
- - - - - - - - - - - - - - - - - - - - - -
-

ACTION

- 		-

SOURCE

- 		-

DESTINATION

- 		-

PROTOCOL

- 		-

PORT

- 		-

SOURCE PORT

- 		-

ORIGINAL ADDRESS

-
-

DNAT

- 		-

net

- 		-

loc:10.10.10.2

- 		-

tcp

- 		-

80

- 		-

 

- 		-

 

-
-
-
-

Deux points importants à garder en mémoire :

- - -
-
- - - - - - - - - - - - - - - - - - - - - -
-

ACTION

- 		-

SOURCE

- 		-

DESTINATION

- 		-

PROTOCOL

- 		-

PORT

- 		-

SOURCE PORT

- 		-

ORIGINAL ADDRESS

-
-

DNAT

- 		-

net

- 		-

loc:10.10.10.2:80

- 		-

tcp

- 		-

5000

- 		-

 

- 		-

 

-
-
-
-

    A ce point, -modifiez /etc/shorewall/rules pour ajouter les règles DNAT dont -vous avez besoin.

-

Domain Name Server (DNS)

-

Normalement, quand vous vous connectez à votre -fournisseur (ISP), une partie consiste à obtenir votre adresse -IP, votre DNS -pour le firewall (Domain Name Service) est configuré -automatiquement (c.a.d.,le fichier /etc/resolv.conf a été -écrit). Il arrive que votre provider vous donne une paire -d'adresse IP pour les DNS (name servers) afin que vous -configuriez manuellement votre serveur -de nom primaire et secondaire. La manière dont le DNS est -configuré sur votre firewall est de votre -responsabilité. Vous pouvez procéder d'une de ses deux -façons :

- - -
-
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
-

ACTION

- 		-

SOURCE

- 		-

DESTINATION

- 		-

PROTOCOL

- 		-

PORT

- 		-

SOURCE PORT

- 		-

ORIGINAL ADDRESS

-
-

ACCEPT

- 		-

loc

- 		-

fw

- 		-

tcp

- 		-

53

- 		-

 

- 		-

 

-
-

ACCEPT

- 		-

loc

- 		-

fw

- 		-

udp

- 		-

53

- 		-

 

- 		-

 

-
-
-
-

Autres Connexions

-

Les fichiers exemples inclus dans l'archive -(two-interface) contiennent les règles suivantes :

- -
-
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
-

ACTION

- 		-

SOURCE

- 		-

DESTINATION

- 		-

PROTOCOL

- 		-

PORT

- 		-

SOURCE PORT

- 		-

ORIGINAL ADDRESS

-
-

ACCEPT

- 		-

fw

- 		-

net

- 		-

tcp

- 		-

53

- 		-

 

- 		-

 

-
-

ACCEPT

- 		-

fw

- 		-

net

- 		-

udp

- 		-

53

- 		-

 

- 		-

 

-
-
-
-

Ces règles autorisent l'accès DNS -à -partir de votre firewall et peuvent être enlevées si vous -avez -dé commenté la ligne dans /etc/shorewall/policy -autorisant -toutes les connexions depuis le firewall vers Internet.

-

Les exemples contiennent aussi :

- -
-
- - - - - - - - - - - - - - - - - - - - - -
-

ACTION

- 		-

SOURCE

- 		-

DESTINATION

- 		-

PROTOCOL

- 		-

PORT

- 		-

SOURCE PORT

- 		-

ORIGINAL ADDRESS

-
-

ACCEPT

- 		-

loc

- 		-

fw

- 		-

tcp

- 		-

22

- 		-

 

- 		-

 

-
-
-
-

Cette règle vous autorise à faire tourner -un serveur SSH sur votre firewall et à vous y connecter depuis -votre -réseau local.

-

Si vous voulez permettre d'autres connexions entre -votre -firewall et d'autres systèmes, la forme générale -est -:

- -
-
- - - - - - - - - - - - - - - - - - - - - -
-

ACTION

- 		-

SOURCE

- 		-

DESTINATION

- 		-

PROTOCOL

- 		-

PORT

- 		-

SOURCE PORT

- 		-

ORIGINAL ADDRESS

-
-

ACCEPT

- 		-

<source zone>

- 		-

<destination zone>

- 		-

<protocol>

- 		-

<port>

- 		-

 

- 		-

 

-
-
-
-

Exemple - Vous voulez faire tourner un serveur Web sur -votre firewall :

- -
-
- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -
-

ACTION

- 		-

SOURCE

- 		-

DESTINATION

- 		-

PROTOCOL

- 		-

PORT

- 		-

SOURCE PORT

- 		-

ORIGINAL ADDRESS

-
-

ACCEPT

- 		-

net

- 		-

fw

- 		-

tcp

- 		-

80

- 		-

#Permet l'accès Web

- 		-

depuis Internet

-
-

ACCEPT

- 		-

loc

- 		-

fw

- 		-

tcp

- 		-

80

- 		-

#Permet l'accès Web

-
- 		-

depuis Internet

-
-
-
-

Ces deux règles bien sûr viennent -s'ajouter -aux règles décrites précédemment dans "Vous -pouvez configurer un cache dns (Caching Name Server) sur votre -firewall"

-

Si vous ne savez pas quel port et quel protocole une -application particulière utilise, regardez ici.

-

Important: Je ne vous recommande pas de -permettre -le telnet depuis ou vers Internet car il utilise du texte en clair -(même pour le login et le mot de passe!). Si vous voulez un -accès au shell sur votre firewall depuis Internet, utilisez SSH :

- -
-
- - - - - - - - - - - - - - - - - - - - - -
-

ACTION

- 		-

SOURCE

- 		-

DESTINATION

- 		-

PROTOCOL

- 		-

PORT

- 		-

SOURCE PORT

- 		-

ORIGINAL ADDRESS

-
-

ACCEPT

- 		-

net

- 		-

fw

- 		-

tcp

- 		-

22

- 		-

 

- 		-

 

-
-
-
-

    -Maintenant éditez votre fichier /etc/shorewall/rules pour -ajouter ou supprimer les connexions voulues.

-

Lancer et Arrêter votre Firewall

-

Arrow -    La  procédure -d'installation configure votre système pour lancer Shorewall -au boot du système, mais pour les débutants sous -Shorewall version 1.3.9, le lancement est désactivé tant -que la configuration n' est pas finie. -Une fois la configuration de votre firewall achevée, vous pouvez -permettre le lancement de Shorewall en enlevant le fichier -/etc/shorewall/startup_disabled.

-

IMPORTANT: Les -utilisateurs -des paquets .deb doivent éditer /etc/default/shorewall et mettre -'startup=1'.

-

Le firewall est lancé en utilisant la commande -"shorewall start" et stoppé avec "shorewall stop". Lorsque le -firewall est stoppé, le routage est permis sur les hôtes -qui sont dans le fichier/etc/shorewall/routestopped. -Un firewall fonctionnant peut être relancé en utilisant la -commande "shorewall restart". Si vous voulez enlever toutes les traces -de Shorewall dans votre configuration de Netfilter, utilisez "shorewall -clear".

-

    -Les exemples (two-interface) supposent que vous voulez permettre le -routage depuis ou vers eth1 (le réseau local) -lorsque Shorewall est stoppé. Si votre réseau local n' -est -pas connecté à eth1 ou si vous voulez permettre -l'accès -depuis ou vers d'autres hôtes, changez -/etc/shorewall/routestopped -en conséquence.

-

ATTENTION: Si vous êtes connecté -à votre firewall depuis Internet, n'essayez pas la commande -"shorewall stop" tant que vous n'avez pas ajouté une -entrée pour votre adresse IP depuis laquelle vous êtes -connecté dans/etc/shorewall/routestopped. -De plus, je ne vous recommande pas d'utiliser "shorewall restart"; il -est mieux de créer une configuration -alternative et de l'essayer en utilisant la commande"shorewall try".

-

Last updated 12/20/2002 - Tom Eastep

-

Copyright 2002 -Thomas M. Eastep

-
-
-
-
-
-
-
-
-
-
- - diff --git a/Shorewall-docs/two-interface_fr.xml b/Shorewall-docs/two-interface_fr.xml new file mode 100755 index 000000000..44c38e8a0 --- /dev/null +++ b/Shorewall-docs/two-interface_fr.xml @@ -0,0 +1,1125 @@ + + +
+ + Basic Two-Interface Firewall + + + + Tom + + Eastep + + + + 2003-12-20 + + + 2001-2003 + + Thomas M. Eastep + + + + Permission is granted to copy, distribute and/or modify this + document under the terms of the GNU Free Documentation License, Version + 1.2 or any later version published by the Free Software Foundation; with + no Invariant Sections, with no Front-Cover, and with no Back-Cover + Texts. A copy of the license is included in the section entitled "GNU Free Documentation License". + + + + + Notes du traducteur : Je ne + prétends pas être un vrai traducteur dans le sens ou mon travail n'est + pas des plus précis (loin de là...). Je ne me suis pas attaché à une + traduction exacte du texte, mais plutôt à en faire une version française + intelligible par tous (et par moi). Les termes techniques sont la plupart + du temps conservés sous leur forme originale et mis entre parenthèses car + vous pouvez les retrouver dans le reste des documentations ainsi que dans + les fichiers de configuration. N'hésitez pas à me contacter afin + d?améliorer ce document VETSEL + Patrice (merci à JMM pour sa relecture et ses commentaires + pertinents, ainsi qu'à Tom EASTEP pour son formidable outil et sa + disponibilité). + + +
+ Introduction + + Mettre en place un système Linux en tant que firewall pour un petit + réseau est une chose assez simple, si vous comprenez les bases et suivez + la documentation. Ce guide ne veut pas vous apprendre tous les rouages de + Shorewall. Il se focalise sur ce qui est nécessaire pour configurer + Shorewall, dans son utilisation la plus courante : + + + + Un système Linux utilisé en tant que firewall/routeur pour un + petit réseau local. + + + + Une seule adresse IP publique. + + + + Une connexion Internet par le biais d'un modem câble, ADSL, + ISDN, "Frame Relay", RTC ... + + + + Voici un schéma d'une installation typique. + + + + Si vous faites tourner Shorewall sous Mandrake + 9.0 ou plus récent, vous pouvez facilement réaliser la configuration + ci-dessus en utilisant l'applet Mandrake "Internet Connection + Sharing". Depuis le "Mandrake Control Center", sélectionnez + "Network & Internet" et "Connection Sharing". Vous ne + devriez pas avoir besoin de vous référer à ce guide. + + Ce guide suppose que vous avez le paquet iproute/iproute2 + d'installé. Vous pouvez voir si le paquet est installé en vérifiant la + présence du programme ip sur votre système de firewall. Sous root, + utilisez la commande 'which' pour rechercher le programme : + + [root@gateway root]# which ip + /sbin/ip + [root@gateway root]# + + + Je vous recommande dans un premier temps de parcourir tout le guide + pour vous familiariser avec ce qu'il va se passer, et de revenir au + début en effectuant le changements dans votre configuration. Les points, + où les changements dans la configuration sont recommandées, sont signalés + par une + + Si vous éditez vos + fichiers de configuration sur un système Windows, vous devez les sauver + comme des fichiers Unix si votre éditeur supporte cette option sinon vous + devez les faire passer par dos2unix avant d'essayer de les utiliser. + De la même manière, si vous copiez un fichier de configuration depuis + votre disque dur Windows vers une disquette, vous devez lancer dos2unix + sur la copie avant de l'utiliser avec Shorewall. + + + + Windows + Version of dos2unix + + + + Linux + Version of dos2unix + + +
+ +
+ Les Concepts de Shorewall + + Les fichiers de + configuration pour Shorewall sont situés dans le répertoire /etc/shorewall + -- pour de simples paramétrages, vous n'avez à faire qu'avec + quelques un d'entre eux comme décris dans ce guide. Après avoir installé Shorewall, téléchargez + le + two-interface sample, un-tarez le (tar -zxvf two-interface.tgz) et + copiez les fichiers vers /etc/shorewall (Ils remplaceront les fichiers de + même nom déjà existant dans /etc/shorewall installés lors de + l'installation de Shorewall). + + Parallèlement à la description, je vous suggère de jeter un oeil à + ceux physiquement présents sur votre système -- chacun des fichiers + contient des instructions de configuration détaillées et des entrées par + défaut. + + Shorewall voit le réseau où il tourne, comme un ensemble de zones. + Dans une configuration avec deux interfaces, les noms des zones suivantes + sont utilisés: + + + /etc/shorewall/zones + + + + + ZONE + + DISPLAY + + + + net + + Internet + + + + loc + + Votre réseau local + + + +
+ + Les zones de Shorewall sont définies dans /etc/shorewall/zones. + + Shorewall reconnaît aussi le système de firewall comme sa propre + zone - par défaut, le firewall est connu comme fw. Les règles à propos de + quel trafic autoriser, et de quel trafic interdire sont exprimées en terme + de zones. + + + + Vous exprimez votre politique par défaut pour les connexions + d'une zone vers une autre zone dans le fichier /etc/shorewall/policy . + + + + Vous définissez les exceptions à ces politiques pas défaut dans + le fichier /etc/shorewall/rules. + + + + Pour chaque connexion demandant à entrer dans le firewall, la + requête est en premier lieu comparée par rapport au fichier + /etc/shorewall/rules. Si aucune règle dans ce fichier ne correspond à la + demande de connexion alors la première politique dans le fichier + /etc/shorewall/policy qui y correspond sera appliquée. Si cette politique + est REJECT ou DROP la requête est dans un premier temps comparée par + rapport aux règles contenues dans /etc/shorewall/common. Le fichier + /etc/shorewall/policy inclue dans l'archive d'exemple + (two-interface) a les politiques suivantes: + + + /etc/shorewall/policy + + + + + SOURCE ZONE + + DESTINATION ZONE + + POLICY + + LOG LEVEL + + LIMIT:BURST + + + + fw + + net + + ACCEPT + + + + + + + + net + + all + + DROP + + info + + + + + + all + + all + + REJECT + + info + + + + + +
+ + Dans le fichier d'exemple (two-interface), la ligne suivante est + inclue mais elle est commentée. Si vous voulez que votre firewall puisse + avoir un accès complet aux serveurs sur Internet, décommentez la ligne. + + + /etc/shorewall/policy + + + + + SOURCE ZONE + + DESTINATION ZONE + + POLICY + + LOG LEVEL + + LIMIT:BURST + + + + fw + + net + + accept + + + + + + + +
+ + Ces politiques vont : + + + + permettre toutes demandes de connexion depuis le firewall vers + l'Internet + + + + drop (ignorer) toutes les demandes de connexion depuis + l'Internet vers votre firewall + + + + Facultativement accepter toutes les demandes de connexion de + votre firewall vers l'Internet (si vous avez dé commenté la + politique additionnelle) + + + + rejeter toutes les autres requêtes de connexion (Shorewall à + besoin de cette politique). + + + + A ce point, éditez + votre /etc/shorewall/policy et faites y les changements que vous désirez. + +
+ +
+ Network Interfaces + + + + Le firewall a deux interfaces réseau. Lorsque la connexion Internet + passe par un modem câble ou par un routeur ADSL (pas un simple modem), + l'External Interface (interface externe) sera l'adaptateur + ethernet (eth0) qui y est connecté à + moins que vous vous connectiez par Point-to-Point Protocol over Ethernet + (PPPoE) ou Point-to-Point TunnelingProtocol(PPTP) dans ce cas + l'interface externe sera ppp0. Si + vous vous connectez par un simple modem (RTC), votre interface externe + sera aussi ppp0. Si vous vous connectez + en utilisant l'ISDN (numéris), votre interface externe sera ippp0. + + Si votre interface vers l'extérieur est ppp0 + ou ippp0 alors vous mettrez CLAMPMSS=yes + dans /etc/shorewall/shorewall.conf. + + Votre Internal Interface (interface vers votre + réseau local -> LAN) sera un adaptateur Ethernet (eth1 ou eth0) et + sera connectée à un hub ou switch (ou un PC avec un câble croisé). Vos + autres ordinateurs seront connectés à ce même hub/switch. + + Ne connectez pas + l'interface interne et externe sur le même hub ou switch (même pour + tester). Cela ne fonctionnera pas et ne croyez pas que ce soit shorewall + qui ne marche pas. + + Le fichier de + configuration d'exemple pour deux interfaces suppose que votre + interface externe est eth0et que l'interne est eth1. Si votre + configuration est différente, vous devrez modifier le fichier + /etc/shorewall/interfaces en conséquence. Tant que vous y êtes, vous + pourriez parcourir la liste des options qui sont spécifiées pour les + interfaces. Quelques trucs: + + + + Si votre interface vers l'extérieur est ppp0 ou ippp0, + vous pouvez remplacer le "detect" dans la seconde colonne par + un "-". + + + + Si votre interface vers l'extérieur est ppp0 ou ippp0 + ou si vous avez une adresse IP statique, vous pouvez enlever + "dhcp" dans la liste des options. + + +
+ +
+ Adresses IP + + Avant d'aller plus loin, nous devons dire quelques mots au sujet + de Internet Protocol (IP) addresses. Normalement, votre fournisseur + Internet (ISP) vous assignera une seule adresse IP (single PublicIP + address). Cette adresse peut être assignée par le Dynamic Host + Configuration Protocol(DHCP) ou lors de l'établissement de votre + connexion lorsque vous vous connectez (modem standard) ou établissez votre + connexion PPP. Dans de rares cas , votre provider peut vous assigner une + adresse statique (staticIP address); cela signifie que vous devez + configurer l'interface externe de votre firewall afin d'utiliser + cette adresse de manière permanente. Votre adresse externe assignée, elle + va être partagée par tous vos systèmes lors de l'accès à Internet. + Vous devrez assigner vos propres adresses dans votre réseau local (votre + interface interne sur le firewall ainsi que les autres ordinateurs). La + RFC 1918 réserve plusieurs plages d'IP (PrivateIP address ranges) à + cette fin : + + 10.0.0.0 - 10.255.255.255 + 172.16.0.0 - 172.31.255.255 + 192.168.0.0 - 192.168.255.255 + + Avant de lancer + Shorewall, vous devriez regarder l'adresse IP de votre interface + externe, et si elle est dans les plages précédentes, vous devriez enlever + l'option 'norfc1918' dans la ligne concernant l'interface + externe dans le fichier /etc/shorewall/interfaces. Vous devrez assigner + vos adresses depuis le même sous-réseau (sub-network/subnet). Pour ce + faire, nous pouvons considérer un sous-réseau dans une plage + d'adresses x.y.z.0 - x.y.z.255. Chaque sous-réseau aura un masque + (Subnet Mask) de 255.255.255.0. L'adresse x.y.z.0 est réservée comme + l'adresse de sous-réseau (Subnet Address) et x.y.z.255 est réservée en + tant qu'adresse de broadcast (Subnet Broadcast Address). Dans + Shorewall, un sous-réseau est décrit en utilisant la notation Classless InterDomain + Routing (CIDR) qui consiste en l'adresse du sous-réseau suivie + par "/24". Le "24" se réfère au nombre consécutif de bits + marquant "1" dans la partie gauche du masque de sous-réseau. + + + Un exemple de sous-réseau (sub-network) : + + + + + Plage: + + 10.10.10.0 - 10.10.10.255 + + + + Subnet Address: + + 10.10.10.0 + + + + Broadcast Address: + + 10.10.10.255 + + + + CIDR Notation: + + 10.10.10.0/24 + + + +
+ + Il est de mise d'assigner l'interface interne (LAN) à la + première adresse utilisable du sous-réseau (10.10.10.1 dans l'exemple + précédent) ou la dernière adresse utilisable (10.10.10.254). L'un des + buts d'un sous-réseau est de permettre à tous les ordinateurs dans le + sous-réseau de savoir avec quels autres ordinateurs ils peuvent + communiquer directement. Pour communiquer avec des systèmes en dehors du + sous-réseau, les ordinateurs envoient des paquets à travers le gateway + (routeur). + + Vos ordinateurs en + local (ordinateur 1 et ordinateur 2 dans le diagramme) devraient être + configurés avec leur passerelle par défaut (default gateway) pointant sur + l'adresse IP de l'interface interne du firewall. + + The foregoing short discussion barely scratches the surface + regarding subnetting and routing. If you are interested in learning more + about IP addressing and routing, I highly recommend "IP Fundamentals: + What Everyone Needs to Know about Addressing & Routing", Thomas A. + Maufer, Prentice-Hall, 1999, ISBN 0-13-975483-0. + + Le reste de ce guide assumera que vous avez configuré votre réseau + comme montré ci-dessous : + + + + La passerelle par défaut pour les ordinateurs 1 et 2 devrait être + 10.10.10.254. +
+ +
+ IP Masquerading (SNAT) + + Les adresses réservées par la RFC 1918 sont parfois désignées comme + non-routables car les routeurs Internet (backbone) ne font pas circuler + les paquets qui ont une adresse de destination appartenant à la RFC-1918. + Lorsqu'un de vos systèmes en local (supposons l'ordinateur1) + demande une connexion à un serveur par Internet, le firewall doit + appliquer un NAT (Network Address Translation). Le firewall ré écrit + l'adresse source dans le paquet, et l'a remplace par l'adresse + de l'interface externe du firewall; en d'autres mots, le firewall + fait croire que c'est lui même qui initie la connexion. Ceci est + nécessaire afin que l'hôte de destination soit capable de renvoyer les + paquets au firewall (souvenez vous que les paquets qui ont pour adresse de + destination, une adresse réservée par la RFC 1918 ne pourront pas être + routés à travers Internet, donc l'hôte Internet ne pourra adresser sa + réponse à l'ordinateur 1). Lorsque le firewall reçoit le paquet de + réponse, il remet l'adresse de destination à 10.10.10.1 et fait passer + le paquet vers l'ordinateur 1. Sur les systèmes Linux, ce procédé est + souvent appelé de l'IP Masquerading mais vous verrez aussi le terme de + Source Network Address Translation (SNAT) utilisé. Shorewall suit la + convention utilisée avec Netfilter: + + + + Masquerade désigne le cas ou vous laissez + votre firewall détecter automatiquement l'adresse de + l'interface externe. + + + + SNAT désigne le cas où vous spécifiez + explicitement l'adresse source des paquets sortant de votre réseau + local. + + + + Sous Shorewall, autant le Masquerading que le SNAT sont configuré + avec des entrés dans le fichier /etc/shorewall/masq. Vous utiliserez + normalement le Masquerading si votre adresse IP externe est dynamique, et + SNAT si elle est statique. + + Si votre interface + externe du firewall est eth0, vous n'avez pas besoin de modifier le + fichier fourni avec l'exemple. Dans le cas contraire, éditez + /etc/shorewall/masq et changez la première colonne par le nom de votre + interface externe, et la seconde colonne par le nom de votre interface + interne. + + Si votre IP externe + est statique, vous pouvez la mettre dans la troisième colonne dans + /etc/shorewall/masq si vous le désirez, de toutes façons votre firewall + fonctionnera bien si vous laissez cette colonne vide. Le fait de mettre + votre IP statique dans la troisième colonne permet un traitement des + paquets sortant un peu plus efficace. + + Si vous utilisez les + paquets Debian, vérifiez que votre fichier de configuration shorewall.conf + contient bien les valeurs suivantes, si elles n'y sont pas faite les + changements nécessaires: + + + + NAT_ENABLED=Yes + + + + IP_FORWARDING=On + + +
+ +
+ Port Forwarding (DNAT) + + Un de nos buts est de , peut être, faire tourner un ou plusieurs + serveurs sur nos ordinateurs locaux. Parce que ces ordinateurs on une + adresse RFC-1918, il n' est pas possible pour les clients sur Internet + de se connecter directement à eux. Il est nécessaire à ces clients + d'adresser leurs demandes de connexion au firewall qui ré écrit + l'adresse de destination de votre serveur, et fait passer le paquet à + celui-ci. Lorsque votre serveur répond, le firewall applique + automatiquement un SNAT pour ré écrire l'adresse source dans la + réponse. + + Ce procédé est appelé Port Forwarding ou Destination Network Address + Translation(DNAT). Vous configurez le port forwarding en utilisant les + règles DNAT dans le fichier /etc/shorewall/rules. + + La forme générale d'une simple règle de port forwarding dans + /etc/shorewall/rules est: + + + /etc/shorewall/rules + + + + + ACTION + + SOURCE + + DESTINATION + + PROTOCOL + + PORT + + SOURCE PORT + + ORIGINAL DEST + + + + DNAT + + net + + loc:<server local ip address> + [:<server port>] + + <protocol> + + <port> + + + + + + + +
+ + Exemple - vous faites tourner un serveur Web sur l'ordinateur 2 + et vous voulez faire passer les requêtes TCP sur le port 80 à ce système : + + + /etc/shorewall/rules + + + + + ACTION + + SOURCE + + DESTINATION + + PROTOCOL + + PORT + + SOURCE PORT + + ORIGINAL DEST + + + + DNAT + + net + + loc:10.10.10.2 + + tcp + + 80 + + + + + + + +
+ + Deux points importants à garder en mémoire : + + + + Vous devez tester la règle précédente depuis un client à + l'extérieur de votre réseau local (c.a.d., ne pas tester depuis un + navigateur tournant sur l'ordinateur 1 ou 2 ou sur le firewall). + Si vous voulez avoir la possibilité d'accéder à votre serveur web + en utilisant l'adresse IP externe de votre firewall, regardez + Shorewall FAQ #2. + + + + Quelques fournisseurs Internet (Provider/ISP) bloquent les + requêtes entrantes de connexion sur le port 80. Si vous avez des + problèmes à vous connecter à votre serveur web, essayez la règle + suivante et connectez vous sur le port 5000. + + + /etc/shorewall/rules + + + + + ACTION + + SOURCE + + DESTINATION + + PROTOCOL + + PORT + + SOURCE PORT + + ORIGINAL DEST + + + + DNAT + + net + + loc:10.10.10.2:80 + + tcp + + 5000 + + + + + + + +
+ + + + A ce point, modifiez + /etc/shorewall/rules pour ajouter les règles DNAT dont vous avez besoin. +
+ +
+ Domain Name Server (DNS) + + Normalement, quand vous vous connectez à votre fournisseur (ISP), + une partie consiste à obtenir votre adresse IP, votre DNS pour le firewall + (Domain Name Service) est configuré automatiquement (c.a.d.,le fichier + /etc/resolv.conf a été écrit). Il arrive que votre provider vous donne une + paire d'adresse IP pour les DNS (name servers) afin que vous + configuriez manuellement votre serveur de nom primaire et secondaire. La + manière dont le DNS est configuré sur votre firewall est de votre + responsabilité. Vous pouvez procéder d'une de ses deux façons : + + + + Vous pouvez configurer votre système interne pour utiliser les + noms de serveurs de votre provider. Si votre fournisseur vous donne + les adresses de leurs serveurs ou si ces adresses sont disponibles sur + leur site web, vous pouvez configurer votre système interne afin de + les utiliser. Si cette information n' est pas disponible, regardez + dans /etc/resolv.conf sur votre firewall -- les noms des serveurs sont + donnés dans l'enregistrement "nameserver" dans ce fichier. + + + + Vous pouvez + configurer un cache dns (Caching Name Server) sur votre firewall. Red + Hat a un RPM pour mettre en cache un serveur de nom (le RPM requis + aussi le RPM 'bind') et pour les utilisateurs de Bering, il y + a dnscache.lrp. Si vous adoptez cette approche, vous configurez votre + système interne pour utiliser le firewall lui même comme étant le seul + serveur de nom primaire. Vous pouvez utiliser l'adresse IP interne + du firewall (10.10.10.254 dans l'exemple) pour l'adresse de + serveur de nom. Pour permettre à vos systèmes locaux de discuter avec + votre serveur cache de nom, vous devez ouvrir le port 53 (UDP ET TCP) + sur le firewall vers le réseau local; vous ferez ceci en ajoutant les + règles suivantes dans /etc/shorewall/rules. + + + /etc/shorewall/rules + + + + + ACTION + + SOURCE + + DESTINATION + + PROTOCOL + + PORT + + SOURCE PORT + + ORIGINAL DEST + + + + ACCEPT + + loc + + fw + + udp + + 53 + + + + + + + + ACCEPT + + loc + + fw + + tcp + + 53 + + + + + + + +
+ + +
+ +
+ Autres connexions + + Les fichiers exemples inclus dans l'archive (two-interface) + contiennent les règles suivantes : + + + /etc/shorewall/rules + + + + + ACTION + + SOURCE + + DESTINATION + + PROTOCOL + + PORT + + SOURCE PORT + + ORIGINAL DEST + + + + ACCEPT + + fw + + net + + udp + + 53 + + + + + + + + ACCEPT + + fw + + net + + tcp + + 53 + + + + + + + +
+ + Ces règles autorisent l'accès DNS à partir de votre firewall et + peuvent être enlevées si vous avez dé commenté la ligne dans + /etc/shorewall/policy autorisant toutes les connexions depuis le firewall + vers Internet. Les exemples contiennent aussi : + + + /etc/shorewall/rules + + + + + ACTION + + SOURCE + + DESTINATION + + PROTOCOL + + PORT + + SOURCE PORT + + ORIGINAL DEST + + + + ACCEPT + + loc + + fw + + tcp + + 22 + + + + + + + +
+ + SCette règle vous autorise à faire tourner un serveur SSH sur votre + firewall et à vous y connecter depuis votre réseau local. Si vous voulez + permettre d'autres connexions entre votre firewall et d'autres + systèmes, la forme générale est : + + + /etc/shorewall/rules + + + + + ACTION + + SOURCE + + DESTINATION + + PROTOCOL + + PORT + + SOURCE PORT + + ORIGINAL DEST + + + + ACCEPT + + <source zone> + + <destination zone> + + <protocol> + + <port> + + + + + + + +
+ + Exemple - Vous voulez faire tourner un serveur Web sur votre + firewall : + + + /etc/shorewall/rules + + + + + ACTION + + SOURCE + + DESTINATION + + PROTOCOL + + PORT + + SOURCE PORT + + ORIGINAL DEST + + + + ACCEPT + + loc + + fw + + tcp + + 80 + + + + + + + + ACCEPT + + net + + fw + + tcp + + 80 + + + + + + + +
+ + Ces deux règles bien sûr viennent s'ajouter aux règles décrites + précédemment dans "Vous pouvez configurer un cache dns (Caching Name + Server) sur votre firewall" + + Si vous ne savez pas quel port et quel protocole une application + particulière utilise, regardez ici. + + Important: Je ne vous recommande pas de permettre le telnet depuis + ou vers Internet car il utilise du texte en clair (même pour le login et + le mot de passe!). Si vous voulez un accès au shell sur votre firewall + depuis Internet, utilisez SSH : + + + /etc/shorewall/rules + + + + + ACTION + + SOURCE + + DESTINATION + + PROTOCOL + + PORT + + SOURCE PORT + + ORIGINAL DEST + + + + ACCEPT + + net + + fw + + tcp + + 22 + + + + + + + +
+ + Maintenant éditez + votre fichier /etc/shorewall/rules pour ajouter ou supprimer les + connexions voulues. +
+ +
+ Lancer et Arrêter son Firewall + + La procédure d'installation + configure votre système pour lancer Shorewall au boot du système, mais au + début avec la version 1.3.9 de Shorewall le lancement est désactivé, + n'essayer pas de lancer Shorewall avec que la configuration soit + finie. Une fois que vous en aurez fini avec la configuration du firewall, + vous pouvez permettre le lancement de Shorewall en supprimant le fichier + /etc/shorewall/startup_disabled. + + IMPORTANT: Les utilisateurs des paquets .deb + doivent éditer /etc/default/shorewall et mettre 'startup=1'. + + Le firewall est activé en utilisant la commande "shorewall + start" et arrêté avec "shorewall stop". Lorsque le firewall + est stoppé, le routage est autorisé sur les hôtes qui possèdent une entrée + dans /etc/shorewall/routestopped. + Un firewall qui tourne peut être relancé en utilisant la commande + "shorewall restart". Si vous voulez enlever toutes traces de + Shorewall sur votre configuration de Netfilter, utilisez "shorewall + clear". + + Les exemples + (two-interface) supposent que vous voulez permettre le routage depuis ou + vers eth1 (le réseau local) lorsque Shorewall est stoppé. Si votre réseau + local n' est pas connecté à eth1 ou si vous voulez permettre + l'accès depuis ou vers d'autres hôtes, changez + /etc/shorewall/routestopped en conséquence. + + ATTENTION: Si vous êtes connecté à + votre firewall depuis Internet, n'essayez pas une commande + "shorewall stop" tant que vous n'avez pas ajouté une entrée + pour votre adresse IP (celle à partir de laquelle vous êtes connectée) + dans + /etc/shorewall/routestopped. De la même manière, je ne vous + recommande pas d'utiliser "shorewall restart"; il est plus + intéressant de créer une + configuration alternative et de la tester en utilisant la commande + "shorewall try". +
+
\ No newline at end of file