PDA

Afficher la version complète : [Réglé] SHOREWALL 3.2.2



freemin
19/08/2006, 22h33
Voici un tutorial vite fait pour faire fonctionner un firewall/routeur avec Shorewall version 3.2.2
Basé sur une config avec 2 cartes réseaux

0) Installation shorewall
# rpm -ivh --nodeps "shorewall-version".rpm

1) Editer le fichier ZONES : /etc/shorewall/zones
#ZONE TYPE OPTIONS IN OUT
# OPTIONS OPTIONS
fw firewall
net ipv4
loc ipv4

2) Editer le fichier interfaces : /etc/shorewall/interfaces
#ZONE INTERFACE BROADCAST OPTIONS
net eth0 detect dhcp,tcpflags,norfc1918,routefilter,nosmurfs,logma rtians
loc eth1 detect tcpflags,detectnets,nosmurfs

3) Editer le fichier policy : /etc/shorewall/policy (politique par défaut), ma méthode choisie est de tout bloquer par défaut

# THE FOLLOWING POLICY MUST BE LAST
loc net DROP
net all DROP
all all REJECT

4) Editer le fichier rules : /etc/shorewall/rules
# Accept DNS connections from the firewall to the network
#
DNS/ACCEPT $FW net
#
# Accept SSH connections from the local network for administration
#
SSH/ACCEPT loc $FW
#
#
# Reject Ping from the "bad" net zone.. and prevent your log from being flooded..
#
Ping/REJECT net $FW
ACCEPT $FW loc icmp
ACCEPT $FW net icmp
#
# Autoriser de surfer sur internet depuis le local
Web/ACCEPT loc net
HTTPS/ACCEPT loc net
DNS/ACCEPT loc net
# Autoriser le ping depuis le local vers internet
Ping/ACCEPT loc net
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE

offworld
20/08/2006, 10h01
Plus simple???

freemin
20/08/2006, 13h06
Slt

Il existe une multitude des firewalls ...

J'ai juste montrer la manière la plus simple pour la version shorewall 3.2.2 car les documents fournis ne sont pas assez clairs surtout qu'il vous livre avec les packages two interfaces etc..

Il y a 3 types de firewall à retenir :
hardware : comme le cisco par ex ..

software sous 2 dérivés logiciels : soit firewall dédié comme ipcop, pfsense ou monowall etc..

soit firewall logiciel à intégrer dans un OS : comme iptables, shorewall etc...

En gros le script shorewall, vs n'avez qu'à éditer seulement le fichier rules pour autoriser les ports depuis local vers le net etc...

freemin

offworld
20/08/2006, 16h42
Désolé de te faire la remarque, mais la tu mélanges tous, et ça peut porter à confusion.

Sur linux, par défaut, on utilise netfilter.

iptables est le programme de configuration de netfilter par défault, shorewall en est un autre.

Un firewall est toujours logiciel, quand on parle de firewall matériel, on parle d'un firewall qui est installé sur une autre machine.

ipcop, pfsense, monowall, sont quand à elle des distributions orientés sécurité, elles utilisent, pour celle à base de linux, netfilter.

En ce qui concerne cisco, même si leurs machines sont orientés sécurité pour la plupart, on ne peut pas dire que cisco est un firewall, mais un vendeur de matériel informatique.

freemin
20/08/2006, 19h00
Pour offworld :

Désolé de mélanger un peu le tout ... je dois m'excuser mais en tt cas je vois qu'il y a parmi vous des experts ..

Bref ta remarque est bonne.

En effet, ca n'existe pas de firewall matériel car c'est toujours géré par un OS, par ex chez le construcuteur Cisco ils choississent BSD .. sauf si je me trompe....

C'est bien netfilter qu'il faut installer en premier.

Sinon une remarque pour ceux qui archarnent de choisir le meilleur firewall etc...

La solution n'existe pas et le meilleur moyen c'est de ne pas connecter votre machine à Internet.

C'est que je fais pour ma machine personnelle à part et non connectée.

freemin

offworld
20/08/2006, 19h08
Ben netfilter est dans le noyau linux, donc deja installé.

Pour cisco, je crois qu'il devellope leur propre os : cisco ios.

aldrik
21/08/2006, 12h19
shorewall n'est qu'une interface par dessus netfilter.
Il est plutôt intéressant d'utiliser l'interface fournis avec webmin pour manipuler shorewall.

Le but de Shorewall est de cacher le côté implémentation et d'avoir plus des fichiers de configurations orienté tâche.

IpTable est à mon sens plus une source de faille de sécurité du fait que on doit s'attacher à des aspects techniques lié à l'implémentation, et ce n'est pas normal.

Shorewall je l'utilise depuis des années, la sécurité c'est génial. Il y a même des possibilités de mise en place de pots de miel pour bannir à la volé les IPs malveillantes.