Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

Les deux révisions précédentesRévision précédente
Prochaine révision		Révision précédente
shorewall [Le 13/07/2007, 12:05] placisfosshorewall [Le 11/09/2022, 10:35] (Version actuelle) – Suppression des espaces en fin de ligne (détecté et corrigé via le bot wiki-corrector (https://forum.ubuntu-fr.org/viewtopic.php?id=2067892) moths-art
Ligne 1: Ligne 1:
-===== Shorewall =====+{{tag>pare-feu sécurité réseau serveur}}
  
-Shorewall permet d'utiliser son serveur Linux en routeur/firewall. Nous allons voir ici la configuration pour un serveur équipé de 2 cartes réseaux. +----
-Nous définirons que l'interface eth0 correspond à la carte réseau reliée à internet et l'interface eth1 correspond à celle reliée au réseau local.+
  
-Installation : +====== Shorewall ======
  
-<code> +{{:securite:shorewall-logo.png}}
-sudo apt-get install shorewall +
-</code>+
  
-La configuration de shorewall se fait dans /etc/shorewall mais pour l'instant le dossier ne contient pas tous les fichiers de configuration. Il faut donc copier le contenu de /usr/share/doc/shorewall/examples/two-interfaces dans le dossier /etc/shorewall .+===== Qu'est-ce que Shorewall ? =====
  
-<code> +Le pare-feu "Shoreline Firewall", plus communément appelé "Shorewall", est un outil pour configurer plus facilement [[:iptables|Netfilter]]. Shorewall peut être utilisé sur un serveur Linux en routeur/firewall, sur un gateway/routeur/serveur multi-fonction ou sur un système GNU/Linux autonome.
-sudo cp /usr/share/doc/shorewall/examples/two-interfaces/* /etc/shorewall/ +
-</code>+
  
-Ensuite il faut décompresser les fichiers .gz qui s'y trouvent. +Shorewall ne tourne pas en tâche de fond comme dæmon. Une fois qu'il a configuré Netfilter, son travail est finiIl peut être utilisé n'importe quand pour surveiller Netfilter.
-<code> +
-sudo gzip -d interfaces.gz masq.gz policy.gz rules.gz +
-</code>+
  
-=== Éditer les fichiers de configurations ===+Shorewall n'est pas l'outil de configuration de iptables le plus facile mais offre une grande puissance et flexibilité. D'autres alternatives sont plus faciles comme kmyfirewall ou [[:GuFw]].
  
-== interfaces ==+ 
 +# TYPE OF OPTIONS IN ZONE OUT 
 +# OPTIONS OPTIONS 
 +fw firewall 
 +# LAST LINE - ADD YOUR ENTRIES ABOVE THIS ONE - DO NOT REMOVE 
 + 
 + 
 + 
 +# TYPE OF OPTIONS IN ZONE OUT 
 +# OPTIONS OPTIONS 
 +fw firewall 
 +# LAST LINE - ADD YOUR ENTRIES ABOVE THIS ONE - DO NOT REMOVE 
 +                                                                     
 +
 +
 + 
 +==== /etc/shorewall/interfaces ====
  
 Permet de définir à quoi correspondent nos 2 interfaces réseaux eth0 et eth1. Permet de définir à quoi correspondent nos 2 interfaces réseaux eth0 et eth1.
  
-<code>+<file>
 #ZONE   INTERFACE       BROADCAST       OPTIONS #ZONE   INTERFACE       BROADCAST       OPTIONS
 net     eth0            detect          dhcp,tcpflags,routefilter,nosmurfs,logmartians net     eth0            detect          dhcp,tcpflags,routefilter,nosmurfs,logmartians
 loc     eth1            detect          dhcp,tcpflags,detectnets,nosmurfs loc     eth1            detect          dhcp,tcpflags,detectnets,nosmurfs
 #LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE #LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE
-</code>+</file>
  
-=== zones === 
  
-Permet de définir les zones que nous allons utiliser dans la configuration de shorewall. +==== /etc/shorewall/policy ====
- +
-<code> +
-#ZONE   TYPE    OPTIONS                 IN                      OUT +
-#                                       OPTIONS                 OPTIONS +
-fw      firewall +
-net     ipv4 +
-loc     ipv4 +
- +
-#LAST LINE - ADD YOUR ENTRIES ABOVE THIS ONE - DO NOT REMOVE +
-</code> +
- +
-=== policy ===+
  
 Permet d'accepter ou de rejeter le trafic entre les différentes zones. Permet d'accepter ou de rejeter le trafic entre les différentes zones.
  
-<code>+<file>
 # Policies for traffic originating from the local LAN (loc) # Policies for traffic originating from the local LAN (loc)
 # #
Ligne 82: Ligne 77:
  
 #LAST LINE -- ADD YOUR ENTRIES ABOVE THIS LINE -- DO NOT REMOVE #LAST LINE -- ADD YOUR ENTRIES ABOVE THIS LINE -- DO NOT REMOVE
-</code>+</file>
  
-=== rules ===+==== /etc/shorewall/rules ====
  
-Ceci est le fichier de configuration de la partie firewall.+<file> 
 +# AMULE 
 +ACCEPT net:192.168.1.11 fw tcp 16001 
 +ACCEPT net fw tcp 12500 
 +ACCEPT net fw tcp 22 (SSH) 
 +ACCEPT net fw tcp 21 (FTP) 
 +ACCEPT net:192.168.1.11/20 fw tcp 137,138,139,389,445 - 
 +ACCEPT net: 192.168.1.11/20 fw tcp 137138139389445 -- 
 +ACCEPT net:192.168.1.11/20 fw udp 137,138,139,389,445 - 
 +ACCEPT net: 192.168.1.11/20 fw udp 137138139389445 -- 
 +</file>
  
-vous de le configurer selon vos besoins.+==== /etc/shorewall/routestopped ==== 
 + 
 +Permet le routage sur les interfaces défini dans ce fichier lorsque shorewall n'est pas démarré. 
 + 
 +<file> 
 +#INTERFACE      HOST(S)                  OPTIONS 
 +eth1            - 
 +#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE 
 +</file> 
 + 
 +Par défaut shorewall ne peut pas démarrer tant que vous n'avez pas modifié le fichier /etc/default/shorewall et changé la ligne : 
 + 
 +<file> 
 +startup=0 
 +</file> 
 + 
 +par 
 + 
 +<file> 
 +startup=1 
 +</file> 
 + 
 +Il faut également s'assurer que l'option STARTUP_ENABLED du fichier de configuration /etc/shorewall/shorewall.conf a la valeur "Yes"
 + 
 +Vous pouvez maintenant démarrer shorewall : 
 + 
 +<code> 
 +sudo /etc/init.d/shorewall start 
 +</code>
  
  
 +===== Liens =====
  
 +  * http://www.shorewall.net/
 +  * http://www.shorewall.net/two-interface_fr.html
  
 +----
  
 +//Contributeurs principaux : [[:utilisateurs:ButterflyOfFire]], FIXME.//
shorewall.1184321122.txt.gz · Dernière modification : (modification externe)
CC Attribution-Noncommercial 4.0 International Sauf mention contraire, le contenu de ce wiki est placé sous les termes de la licence suivante : CC Attribution-Noncommercial 4.0 International