PhenIXUS

[totoche]

bonjour

j'ai la regle qui accepte le port 10000 et les port 80 et 443

Code : Tout sélectionner

COMMENT  Acces à WEBMIN
ACCEPT          loc             $FW             tcp     10000
ACCEPT   loc   fw   tcp   80
ACCEPT   loc   fw   tcp   443


mais la connexion est rejetée au lancement de shorewall

Code : Tout sélectionner

Mar 19 15:22:32 firewall Shorewall:eth1_mac:REJECT: IN=eth1 OUT= MAC=00:0f:c9:05:58:b1:00:24:1d:c8:01:cd:08:00  SRC=192.168.10.5 DST=192.168.10.50 LEN=52 TOS=00 PREC=0x00 TTL=64 ID=24289 DF PROTO=TCP SPT=4707 DPT=10000 SEQ=1243255378 ACK=0 WINDOW=65535 SYN URGP=0


les régles par défauts

loc net ACCEPT
loc fw ACCEPT
fw loc ACCEPT
fw net ACCEPT
net all DROP ULOG
all all REJECT ULOG

merci d'avance pour vos lumières

[jdh]

Je ne comprends pas la règle par défaut "loc fw ACCEPT" : quel est l'intérêt alors de définir par la suite des règles précises ?
(Je supprimerai les 2 règles par défaut de loc : il vaut mieux être explicite !)

Je note que la syntaxe est différente entre les 3 lignes ($FW et fw) !

A tout hasard, shorewall a-t-il été redémarré (shorewall restart) ?

[totoche]

merci pour ta reponse

j'ai suprimé les 2 regles de loc

fw loc ACCEPT
fw net ACCEPT
net all DROP ULOG
all all REJECT ULOG

pour la difference entre $FW et fw, cela vient du champ Destination zone ou port dans Editer une règle Firewall
il y a : Firewall et <Firewall>

le Firewall viens de la Zone reseau

fw firewall
net ipv4
loc ipv4
dmz ipv4
wifi ipv4

pourquoi c'est 2 zones ?? font elle doublons ??

[totoche]

j'ai l'accés il y avais une option maclist sur eth1

[jdh]

Ah, je comprends : tu administres Shorewall depuis webmin !
Ce que je ne conseille pas ...

En fait Shorewall, est assez simple pour être paramétré avec juste 1 fichier principal et quelques uns secondaire :
- rules : toutes les règles (ACCEPT, REJECT, DROP)
- policy : les règles par défaut
- interfaces
- zones
- masq

On ne touche, une fois le contexte défini, qu'à rules, je ne vois donc pas trop l'intérêt d'une interface web un peu lourde ...
D'autant que je n'installe que le strict minimum sur un firewall : pas d'Apache+php, ...

Et puis lors de l'édition (par vim) il est aisé de regrouper les règles en mettant des commentaires du genre

Code : Tout sélectionner

# loc -> fw : icmp, ssh, http, https, webmin
accept   loc   fw    icmp  8
accept   loc   fw    tcp   22,80,443,10000

# fw -> loc : icmp
accept   fw    loc   icmp  8

J'ai vu qu'il existe des sortes d'alias $FW pour fw : cela est apparu en v4, je crois, enfin c'est un peu loin pour moi ...

Edit / maclist : pourquoi une verrue ? ah bon c'était un bricolage ?

[totoche]

pour l'instant j'y vais doucement

j'ai un rack sur lequel je met seulement
shorewall
dns
dhcp
squid

je ne m'occupe pas encore de eth0 eth2 et eth3

j'ai la partie masquering qui m'échappe déjà que l'anglais et moi c'est hard
je prend eth0 l'interface connectée au net ou
eth1 l'interface local ??

pour la maclist elle serais plus pour le wifi et oui j'ai bricolé sur eth1

[jdh]

Le site de Shorewall donne des explications très complètes (en anglais forcément) http://france.shorewall.net/

Des configs de base sont fournis (two-interface ou three-interface) et les fichiers contiennent des commentaires/documentation.

On commence en général par
- interfaces
- zones
- masq
- policy
et on finit par rules.

Et on structure rules comme je le suggère, cela facilite la lecture ...