Table of Contents


Home > computers > linux > Shorewall > shorewallconfig | About

Shorewall vous permet de spécifier une stratégie (policy) à appliquer à des paquets en fonction de leur provenance et de leur destination (zones), ainsi que des règles (rules) qui dérogent à la stratégie. Par example, sur une machine avec plusieurs interfaces connectés à des réseaux différents (192.168.X.X, 172.16.X.X, 10.X.X.X), chaque interface peut être affectée à une zone.

Fichiers de configuration

La configuration minimal requiert au minium un fichier de zones, un fichier de stratégies et un fichier d'interfaces :

  1. /etc/shorewall/policy
  2. /etc/shorewall/zones
  3. /etc/shorewall/interfaces

Configuration minimale

Voici un exemple de configuration minimal :

Interfaces

$ cat /etc/shorewall/interfaces
[...]
###############################################################################
#ZONE   INTERFACE       BROADCAST       OPTIONS
net     eth1            detect          dhcp,tcpflags,logmartians,nosmurfs

Ici nous affectons la seule carte que nous utilisons (eth1) à la zone "net". Cette zone est définie dans le fichier zones.

Zones

$ cat /etc/shorewall/zones
[...]
###############################################################################
#ZONE   TYPE    OPTIONS                 IN                      OUT
#                                       OPTIONS                 OPTIONS
fw      firewall
net     ipv4

Nous définissons ici deux zones :

1. La première zone fw représente la zone locale (la machine où est installé le firewall).

2. La deuxième zone net est de type IPv4, elle représente l'ensemble des destinations que nous pouvons joindre via la carte eth1 (définie dans interfaces).

Policy

root@messagerie-secours[10.10.10.20] ~ # cat /etc/shorewall/policy
###############################################################################
$FW     net     ACCEPT
net     $FW     ACCEPT
root@messagerie-secours[10.10.10.20] ~ #

Ici, on définit deux stratégies :

1. La première ligne autorise (ACCEPT) tout trafic allant de la zone $FW (c'est à dire la machine local où est installé le firewall, d'où le FW) vers la zone net. On a déjà vu plus haut que la zone net correspond à l'ensemble des destinations accessibles par l'interface réseau eth1.

2. La deuxième autorise (ACCEPT) tout traffic allant depuis la zone net vers la zone $FW, tout bêtement c'est le traffic entrant vers la machine où est installé le firewall à travers la carte eth1.


contact : @ychaouche yacinechaouche at yahoocom


QR Code
QR Code Fichiers de configuration (generated for current page)