Differences

This shows you the differences between two versions of the page.

Link to this comparison view

shorewallconfig [2018/04/05 17:18] (current)
yassine chaouche created
Line 1: Line 1:
 +\\
 +[[:​index|Home]] > [[:​computers|computers]] > [[:​linux|linux]] > [[Shorewall|Shorewall]] > [[shorewallconfig|shorewallconfig]] | [[:​about|About]]
 +
 +Shorewall vous permet de spécifier une stratégie (policy) à appliquer à des paquets en fonction de leur provenance et de leur destination (zones), ainsi que des règles (rules) qui dérogent à la stratégie. Par example, sur une machine avec plusieurs interfaces connectés à des réseaux différents (192.168.X.X,​ 172.16.X.X, 10.X.X.X), chaque interface peut être affectée à une zone.
 +
 +==== Fichiers de configuration ====
 +La configuration minimal requiert au minium un fichier de zones, un fichier de stratégies et un fichier d'​interfaces : 
 +
 +  - /​etc/​shorewall/​policy
 +  - /​etc/​shorewall/​zones
 +  - /​etc/​shorewall/​interfaces
 +
 +==== Configuration minimale ====
 +
 +Voici un exemple de configuration minimal : 
 +
 +===== Interfaces ===
 +<​code>​
 +$ cat /​etc/​shorewall/​interfaces
 +[...]
 +###############################################################################​
 +#ZONE   ​INTERFACE ​      ​BROADCAST ​      ​OPTIONS
 +net     ​eth1 ​           detect ​         dhcp,​tcpflags,​logmartians,​nosmurfs
 +</​code>​
 +
 +Ici nous affectons la seule carte que nous utilisons (eth1) à la zone "​net"​. Cette zone est définie dans le fichier zones.
 +
 +
 +===== Zones =====
 +<​code>​
 +$ cat /​etc/​shorewall/​zones
 +[...]
 +###############################################################################​
 +#ZONE   ​TYPE ​   OPTIONS ​                ​IN ​                     OUT
 +#                                       ​OPTIONS ​                ​OPTIONS
 +fw      firewall
 +net     ipv4
 +</​code>​
 +
 +Nous définissons ici deux zones :
 +
 +1. La première zone **fw** représente la zone locale (la machine où est installé le firewall).
 +
 +2. La deuxième zone **net** est de type IPv4, elle représente l'​ensemble des destinations que nous pouvons joindre via la carte eth1 (définie dans interfaces).
 +
 +
 +===== Policy =====
 +<​code>​
 +root@messagerie-secours[10.10.10.20] ~ # cat /​etc/​shorewall/​policy
 +###############################################################################​
 +$FW     ​net ​    ​ACCEPT
 +net     ​$FW ​    ​ACCEPT
 +root@messagerie-secours[10.10.10.20] ~ #
 +</​code>​
 +
 +Ici, on définit deux stratégies : 
 +
 +1. La première ligne autorise (ACCEPT) tout trafic allant de la zone $FW (c'est à dire la machine local où est installé le firewall, d'où le FW) vers la zone ''​net''​. On a déjà vu plus haut  que la zone net correspond à  l'​ensemble des destinations accessibles par l'​interface réseau eth1. 
 +
 +2. La deuxième autorise (ACCEPT) tout traffic allant depuis la zone **net** vers la zone **$FW**, tout bêtement c'est le traffic entrant vers la machine où est installé le firewall à travers la carte **eth1**. ​
 +
 +
 +----
 +
 +contact : [[http://​twitter.com/​ychaouche|@ychaouche]] yacinechaouche at yahoocom
  

QR Code
QR Code Fichiers de configuration (generated for current page)