PhenIXUS

[totoche]

bonjour à tous

je finis d'installer mon pc avec shorewall sur lequel 4 interfaces sont câblés

etho -> net (192.168.1.2)
eth1 -> loc (192.168.10.1)
eth2 -> wifi
eth3 -> dmz

pour l'instant les seules interfaces qui m’intéresse sont eth0 et eth1

sur le fichier policy j'ai

loc net ACCEPT
fw loc ACCEPT
fw net ACCEPT
net all DROP ULOG
all all REJECT ULOG

sur le fichier masq j'ai

eth0 eth1

sur les rules j'ai

COMMENT acces au net
#ACTION SOURCE DEST PROTO DEST PORT(S)
ACCEPT loc fw tcp 80
ACCEPT fw loc tcp 80
COMMENT acces à SSH
ACCEPT:ULOG loc fw tcp 2222
ACCEPT fw loc tcp 2222 - - 3/min:2
COMMENT Acces squid port 3128
#
ACCEPT fw net tcp 80
REDIRECT loc 3128 tcp 80
COMMENT Acces au WakeOnLan
ACCEPT net fw udp 7
#
COMMENT Acces au serveur de temps
ACCEPT loc fw udp 123
ACCEPT fw net udp 123
#
COMMENT Acces à WEBMIN
ACCEPT loc fw tcp 10000
ACCEPT fw loc tcp 10000
#
COMMENT acces à SAMBA
SMB/ACCEPT $FW loc
SMB/ACCEPT loc $FW
#
COMMENT acces au ping
ACCEPT loc fw icmp echo-request
ACCEPT dmz loc icmp echo-request
ACCEPT loc dmz icmp echo-request
ACCEPT loc net icmp echo-request
ACCEPT fw net icmp echo-request
#
COMMENT Accept DNS
ACCEPT loc $FW tcp 53
ACCEPT loc $FW udp 53
ACCEPT net $FW tcp 53
ACCEPT net $FW udp 53
COMMENT Autorise les MAJ DDNS
ACCEPT loc $FW tcp 953
#
COMMENT Autorise le failover dhcp
ACCEPT loc $FW tcp 647
#
COMMENT Pour le serveur DHCP en LOCAL
ACCEPT $FW loc udp 67
ACCEPT $FW loc udp 68
ACCEPT loc $FW udp 67
ACCEPT loc $FW udp 68
#
COMMENT On interdit le port 113 rester ouvert
DROP net $FW tcp 113
DROP net $FW udp 113

je n'arrive pas à sortir. Je me pose la question dois je rajouter une route ??

route add -net 192.168.10.1/24 gw 192.168.1.1

ou il me manque une règle dans le shorewall ??

merci d'avance pour éclairer ma lanterne

[jdh]

Quelle est la route par défaut ? (ip route)

Est ce que l'ip forward est actif ?

visualisation : cat /proc/sys/net/ipv4/ip_forward
configuration : dans shorewall.conf mettre IP_FORWARDING=Yes

(Les policy sont un peu laxistes ...)

[totoche]

salutatoi

pour le route -n

Code : Tout sélectionner

Destination     Passerelle      Genmask         Indic Metric Ref    Use Iface
192.168.20.0    0.0.0.0         255.255.255.0   U     0      0        0 eth2
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0
192.168.30.0    0.0.0.0         255.255.255.0   U     0      0        0 eth3
192.168.10.0    0.0.0.0         255.255.255.0   U     0      0        0 eth1
0.0.0.0         192.168.1.1     0.0.0.0         UG    0      0        0 eth0


Est ce que l'ip forward est actif ?

IP_FORWARDING=keep je l'est mis à yes

j'étais persuader de l'avoir mis à yes tout comme /proc/sys/net/ipv4/ip_forward j'avais lancer la cmd echo 1 >> /proc/sys/net/ipv4/ip_forward

je reteste tout ça

[totoche]

pour(ip route)
192.168.20.0/24 dev eth2 proto kernel scope link src 192.168.20.1
192.168.1.0/24 dev eth0 proto kernel scope link src 192.168.1.2
192.168.30.0/24 dev eth3 proto kernel scope link src 192.168.30.1
192.168.10.0/24 dev eth1 proto kernel scope link src 192.168.10.50
default via 192.168.1.1 dev eth0

les policy c'est volontaire que je les est mis light (pour l'instant)

j'ai rien qui sort sur eth0

petite erreur sur l'ip de eth0
eth1 -> loc (192.168.10.1) est fausse

la bonne eth1 -> loc (192.168.10.50)

[jdh]

Il manque les 2 derniers fichiers de conf : interfaces et zones.


(Dans rules, vous indiquez souvent la règle retour ce qui est inutile.)

[totoche]

pour le fichier interfaces

net eth0 detect routefilter,norfc1918,logmartians,nosmurfs,tcpflags,blacklist
loc eth1 detect dhcp,tcpflags,nosmurfs
dmz eth2 detect
wifi eth3 detect

pour le fichier zone

fw firewall
net ipv4
loc ipv4
dmz ipv4
wifi ipv4

Dans rules, vous indiquez souvent la règle retour ce qui est inutile.

par exemple webmin ??

Code : Tout sélectionner

ACCEPT   loc   fw   tcp   10000
ACCEPT    fw      loc    tcp     10000


je vire celle là

ACCEPT fw loc tcp 10000

[jdh]

net eth0 detect routefilter,norfc1918,logmartians,nosmurfs,tcpflags,blacklist

Ah beh oui, évidemment, ça va beaucoup moins bien marcher ...

Il n'y aurait pas là un paramètre vraiment en trop ?

Un test de base, le ping de la gateway, vous aurait déjà renseigné !

Sinon vous avez compris ce que je voulais dire par ligne retour : supprimez ces lignes inutiles

[totoche]

je suis tout à fait d'accord sur le test de la gateway je le fait à chaque fois que je teste une modification
mais là nada aucun résultat pour le ping le neant parfait

Sinon vous avez compris ce que je voulais dire par ligne retour : supprimez ces lignes inutiles

oui je pense

je vais virer : ACCEPT fw loc tcp 10000 pour webmin par exemple

je vais tester les options de eth0

[jdh]

Le test de la gateway ne peut pas fonctionner à cause d'un paramètre.
Et le nom même du paramètre devrait 'sonner' ...

[totoche]

log de shorwall

Apr 7 10:49:56 firewall Shorewall:loc2net:REJECT: IN=eth1 OUT=eth0 MAC=00:0f:c9:05:58:b1:00:24:1d:c8:01:cd:08:00 SRC=192.168.10.5 DST=192.168.1.1 LEN=61 TOS=00 PREC=0x00 TTL=63 ID=62400 CE PROTO=UDP SPT=63714 DPT=53 LEN=41

apparemment c'est bon
je rentre bien sur eth1 avec la src= 192.168.10.5 pour sortir sur eth0 dst=192.168.1.1 qui est la box sauf que c'est rejeter

de plus j'ai virer l'option "norfc1918" dans le fichier interface sur eth0 car j'ai une adresse statique sur eth0 (192.168.1.2)
nada toujours rien

j'ai tester en virant les options de eth0 &1sauf dhcp pour eth1
idem pas de net

pour le fichier policy j'ai mis

fw net ACCEPT
net all DROP ULOG
all all REJECT ULOG