logo Debian Debian Debian-France Debian-Facile Debian-fr.org Forum-Debian.fr Debian ? Communautés logo inclusivité

Debian-facile

Bienvenue sur Debian-Facile, site d'aide pour les nouveaux utilisateurs de Debian.

Vous n'êtes pas identifié(e).

#1 19-03-2021 22:59:23

thierryR
Membre
Lieu : Chalons en Champagne
Distrib. : debian
Noyau : Linux 5.4.83+
Inscription : 24-04-2017

firewalld à la place de iptables

Bonjour. Je voudrais utiliser firewalld sur mon raspi4. Je fais un routeur... avec pleins de trucs. Ici je voudrais faire du postrouting.

Configuration du routeur raspi maison:
Internet vient sur eth0
eth1 et wlan0 représente le LAN ( oui, j'ai ajouté un adaptateur usb3/rj45 )

J'ai trouvé un très bel article:  https://www.linuxtricks.fr/wiki/firewal … sous-linux
J'ai presque trouvé à la fin mais ça ne doit pas être tout à fait ça.


Comme on le voit ici:  https://unix.stackexchange.com/question … -firewalld
J'ai adapté:

#!/bin/bash
# Assuming that your Linux box has two NICs; eth0 attached to WAN and eth1 attached to LAN
# eth0 = outside
# eth1 = inside
# [LAN]----> eth1[GATEWAY]eth0 ---->WAN
# Run the following commands on LINUX box that will act as a firewall or NAT gateway
firewall-cmd --query-interface=eth0
firewall-cmd --query-interface=eth1
firewall-cmd --query-interface=wlan0

firewall-cmd --get-active-zone
public
 interfaces: eth0 eth1 wlan0

firewall-cmd --get-zones
firewall-cmd --change-interface=eth0 --zone=external --permanent
firewall-cmd --change-interface=eth1 --zone=internal --permanent
firewall-cmd --change-interface=wlan0 --zone=internal --permanent
firewall-cmd --zone=external --add-masquerade --permanent
firewall-cmd --reload
firewall-cmd --list-all-zones
firewall-cmd --zone=external --query-masquerade
# ip_forward is activated automatically if masquerading is enabled.
# To verify:
cat /proc/sys/net/ipv4/ip_forward
# set masquerading to internal zone
firewall-cmd --zone=internal --add-masquerade --permanent
firewall-cmd --reload
firewall-cmd --direct --add-rule ipv4 nat POSTROUTING 0 -o eth0 -j MASQUERADE
firewall-cmd --direct --add-rule ipv4 filter FORWARD 0 -i eth0 -o eth1 -j ACCEPT
firewall-cmd --direct --add-rule ipv4 filter FORWARD 0 -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
firewall-cmd --reload
 


Normalement ça devrait être Ça mais je ne suis pas sur de mon coup.
Quand je fais:

root@serveur-maison:~# firewall-cmd --reload
Error: COMMAND_FAILED: '/usr/sbin/ip6tables-restore -w -n' failed: ip6tables-restore v1.8.2 (nf_tables):
line 4: RULE_REPLACE failed (No such file or directory): rule in chain INPUT
line 4: RULE_REPLACE failed (No such file or directory): rule in chain OUTPUT

root@serveur-maison:~# service iptables status
Unit iptables.service could not be found.



Donc là, il faudrait invalider iptables.
Si vous avez une idée ?

Dernière modification par thierryR (19-03-2021 23:04:44)


Chercheur en amélioration en informatique, musique, cuisine, etc...

Hors ligne

#2 19-03-2021 23:36:46

naguam
Membre
Lieu : Quelque part
Distrib. : Plusieurs
Noyau : Ça dépend
(G)UI : La CLI il n'y a que ça de vrai!
Inscription : 13-06-2016

Re : firewalld à la place de iptables

https://bugs.debian.org/cgi-bin/bugrepo … bug=931722

Tout est dans le bug report smile

Dernière modification par naguam (19-03-2021 23:37:04)

Hors ligne

#3 20-03-2021 14:20:08

thierryR
Membre
Lieu : Chalons en Champagne
Distrib. : debian
Noyau : Linux 5.4.83+
Inscription : 24-04-2017

Re : firewalld à la place de iptables

Oups, je ne suis pas sauvé avec ça. D'autres distrib s'en sortent mieux. Merci naguam
Comment peut-on installer lokkit sur un raspi ? apt ne le trouve pas.

Chercheur en amélioration en informatique, musique, cuisine, etc...

Hors ligne

#4 21-03-2021 07:57:29

naguam
Membre
Lieu : Quelque part
Distrib. : Plusieurs
Noyau : Ça dépend
(G)UI : La CLI il n'y a que ça de vrai!
Inscription : 13-06-2016

Re : firewalld à la place de iptables

Pourquoi voudrais-tu lokkit comme solution de firewall ?
Firewalld marche bien avec le iptables des backports, et sinon ufw fonctionne out of the box est est très simple à prendre en main smile
De ce que je regarde lokkit est un vieil outils de moins en moins utilisé au profit des nouvelles solutions.

En tout cas j'ai jamais installé / configuré lokkit je peux pas te dire.

Dernière modification par naguam (21-03-2021 07:58:08)

Hors ligne

#5 21-03-2021 10:36:57

raleur
Membre
Inscription : 03-10-2014

Re : firewalld à la place de iptables

naguam a écrit :

Firewalld marche bien avec le iptables des backports


Si le problème vient des nouvelles variantes d'iptables et ip6tables basées sur nftables (nft), alors une autre solution doit être de sélectionner les variantes traditionnelles (legacy) d'iptables et ip6tables avec update-alternatives. Pour choisir :

update-alternatives --config iptables
update-alternatives --config ip6tables


Il vaut mieux montrer que raconter.

Hors ligne

#6 21-03-2021 20:08:13

naguam
Membre
Lieu : Quelque part
Distrib. : Plusieurs
Noyau : Ça dépend
(G)UI : La CLI il n'y a que ça de vrai!
Inscription : 13-06-2016

Re : firewalld à la place de iptables

Il y a en effet peut être moyen que ça fonctionne.

Mais ça reste un bug, apparemment vu que iptables 1.8.3 et probablement les suivantes fonctionnent avec.

Hors ligne

#7 21-03-2021 23:39:29

thierryR
Membre
Lieu : Chalons en Champagne
Distrib. : debian
Noyau : Linux 5.4.83+
Inscription : 24-04-2017

Re : firewalld à la place de iptables

Je voulais installer lokkit pour ça: https://doc.fedora-fr.org/wiki/Parefeu_-_firewall

Chercheur en amélioration en informatique, musique, cuisine, etc...

Hors ligne

Pied de page des forums