Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 27-07-2009 16:15:46

Vassili
Membre
Distrib. : Squeeze (Testing)
Noyau : 2.6.26-2-amd64
(G)UI : Pekwm
Inscription : 27-07-2009

Configuration de Shorewall pour une "Transmission IP"

Bonjour à tous,

J'ai trouvé sur le site Alionet dédié à la distribution OpenSuSe le schéma exact de ma configuration actuelle. :
http://www.alionet.org/index.php?showto … 9seau&st=0

[img align=c]http://img4.hostingpics.net/pics/670594shema.png[/img]

La seule différence est que je suis sous Debian Squeeze et n'ai donc pas l'utilitaire de Novel qu'utilise le membre Cassandre : SuSEfirewall2. Aucun fichier de conf de OpenSuSe se retrouve dans Debian. Je souhaiterais tout faire à la console. Pour cela j'ai installé shorewall mais après de nombreuses heures, je reste coincé.

Voici ce qu'a fait le membre Cassandre :

Sur PC1

- eth0 > DHCP
- eth1 > IP fixe : 192.168.2.1
- Configuré eth0 en zone externe
- Configuré eth1 en zone interne
- Coché la case Activer la transmission IP (FW_ROUTE="YES")
- Coché la case "Masquage réseaux"

Sur PC4

- eth0 > IP fixe : 192.168.2.2, passerelle 192.168.2.1

--------------------------------------------------------------------------------------------------

De mon côté :

Sur PC1
- eth0 > DHCP ---------- OK
- eth1 > IP fixe : 192.168.2.1 ---------- OK
- Configuré eth0 en zone externe ---------- IMPOSSIBLE
- Configuré eth1 en zone interne ---------- IMPOSSIBLE
- Coché la case Activer la transmission IP (FW_ROUTE="YES") ---------- IMPOSSIBLE
- Coché la case "Masquage réseaux" ---------- IMPOSSIBLE

Sur PC4

- eth0 > IP fixe : 192.168.2.2, passerelle 192.168.2.1 ---------- OK

A vrai dire, je ne sais absolument pas comment définir une zone interne ou externe sous Shorewall. Pas plus pour le masquage réseaux.

Voici mon /etc/shorewall/zones

#ZONE   TYPE    OPTIONS                 IN                      OUT
#                                       OPTIONS                 OPTIONS
fw      firewall
net     ipv4
loc     ipv4

#LAST LINE - ADD YOUR ENTRIES ABOVE THIS ONE - DO NOT REMOVE


/etc/shorewall/interfaces

#ZONE INTERFACE BROADCAST OPTIONS
net     eth0            detect          dhcp,tcpflags,routefilter,nosmurfs,logmartians
loc     eth1            detect          tcpflags,nosmurfs
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE


/etc/shorewall/policy

#SOURCE   DEST    POLICY    LOG LEVEL LIMIT:BURST

#
# Note about policies and logging:
# This file contains an explicit policy for every combination of
# zones defined in this sample.  This is solely for the purpose of
# providing more specific messages in the logs.  This is not
# necessary for correct operation of the firewall, but greatly
# assists in diagnosing problems. The policies below are logically
# equivalent to:
#
# loc net   ACCEPT
# net all   DROP    info
# all all   REJECT    info
#
# The Shorewall-perl compiler will generate the individual policies
# below from the above general policies if you set
# EXPAND_POLICIES=Yes in shorewall.conf.
#

# Policies for traffic originating from the local LAN (loc)
#
# If you want to force clients to access the Internet via a proxy server
# on your firewall, change the loc to net policy to REJECT info.
loc   net   ACCEPT
loc   $FW   REJECT    info
loc   all   REJECT    info

#
# Policies for traffic originating from the firewall ($FW)
#
# If you want open access to the Internet from your firewall, change the
# $FW to net policy to ACCEPT and remove the 'info' LOG LEVEL.
# This may be useful if you run a proxy server on the firewall.
$FW   net   REJECT    info
$FW   loc   REJECT    info
$FW   all   REJECT    info

#
# Policies for traffic originating from the Internet zone (net)
#
net   $FW   DROP    info
net   loc   DROP    info
net   all   DROP    info

# THE FOLLOWING POLICY MUST BE LAST
all   all   REJECT    info

#LAST LINE -- ADD YOUR ENTRIES ABOVE THIS LINE -- DO NOT REMOVE


/etc/shorewall/routestopped

#INTERFACE  HOST(S)                  OPTIONS
eth1    -
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE


et pour finir, mon ifconfig :

eth0      Link encap:Ethernet  HWaddr 00:50:8d:bd:6b:a3  
          inet adr:192.168.1.99  Bcast:192.168.1.255  Masque:255.255.255.0
          adr inet6: fe80::250:8dff:febd:6ba3/64 Scope:Lien
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:56147 errors:0 dropped:0 overruns:0 frame:0
          TX packets:68995 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 lg file transmission:1000
          RX bytes:19370038 (18.4 MiB)  TX bytes:7860955 (7.4 MiB)
          Interruption:23

eth1      Link encap:Ethernet  HWaddr 00:50:8d:bd:6b:a4  
          inet adr:192.168.2.1  Bcast:192.168.2.255  Masque:255.255.255.0
          adr inet6: fe80::250:8dff:febd:6ba4/64 Scope:Lien
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:70616 errors:0 dropped:0 overruns:0 frame:0
          TX packets:41510 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 lg file transmission:1000
          RX bytes:6565569 (6.2 MiB)  TX bytes:9180302 (8.7 MiB)
          Interruption:22 Adresse de base:0x2000

lo        Link encap:Boucle locale  
          inet adr:127.0.0.1  Masque:255.0.0.0
          adr inet6: ::1/128 Scope:Hôte
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:28 errors:0 dropped:0 overruns:0 frame:0
          TX packets:28 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 lg file transmission:0
          RX bytes:1360 (1.3 KiB)  TX bytes:1360 (1.3 KiB)


Comme vous pouvez le constater, je suis un débutant smile

Qu'en pensez-vous ?
Pouvez-vous aussi me dire ce que veut dire loc dans les fichiers de conf de Shorewall ?

Cordialement

Dernière modification par Vassili (27-07-2009 20:18:23)

Hors ligne

#2 28-07-2009 14:33:24

mecanotox
Membre
Distrib. : Ubuntu 12.10 Quantal
Noyau : 3.5.0-21-generic
(G)UI : XFCE 4.10 + Thunar 1.6
Inscription : 04-06-2008

Re : Configuration de Shorewall pour une "Transmission IP"

Ce que je peus te conseillé => Pour les fichier conf mets des commentaire en Français sa aide beaucoup surtout dans le cas d'un routeur avec Shorewall.

Après le reste c'est de la logique.

Tu peus l'amélorié en ouvrant que les port dont tu as besoin du LAN vers Internet par ex
Si tu as des VPN genre IPREDATOR, ou IPODAH, LINKIDEO tu peus router que certains port a travers ces connections par ex.

Tu peus mettre un QoS (Quality Of Service) en privilégiant certains protocoles par ex

Sinon les bases sont correctes.

Dernière modification par mecanotox (28-07-2009 14:38:31)

Hors ligne

Pied de page des forums