Shorewall

De Wiki de la communauté Mandriva.

Cette page est une ébauche. Elle mérite des améliorations.
Si vous voulez contribuer, cliquez simplement sur l'onglet modifier. Consultez également les autres pages dont le contenu est à réviser.
Shorewall permet d'utiliser son serveur Linux en routeur/firewall. Nous allons voir ici la configuration simple pour un serveur équipé de 2 cartes réseaux. Nous définirons que l'interface eth0 correspond à la carte réseau reliée à internet et l'interface eth1 correspond à celle reliée au réseau local.

Sommaire

Installation

Shorewall est installé par défaut.

Image:Konsole.png
[root@ordi ~]# cd /etc/shorewall/
gzip -d interfaces.gz masq.gz policy.gz rules.gz


configuration graphique


PARTIE A REDIGER

Éditer les fichiers de configurations

Astuce !
Voir comment éditer des fichiers de configuration si vous ne savez pas comment proceder.

le fichier /etc/shorewall/zones
permet de définir les zones que nous allons utiliser dans la configuration de shorewall.

#ZONE   TYPE    OPTIONS                 IN                      OUT
#                                       OPTIONS                 OPTIONS
fw      firewall
net     ipv4
loc     ipv4

#LAST LINE - ADD YOUR ENTRIES ABOVE THIS ONE - DO NOT REMOVE



le fichier /etc/shorewall/interfaces
Permet de définir à quoi correspondent nos 2 interfaces réseaux eth0 et eth1.

#ZONE   INTERFACE       BROADCAST       OPTIONS
net     eth0            detect          dhcp,tcpflags,routefilter,nosmurfs,logmartians
loc     eth1            detect          dhcp,tcpflags,detectnets,nosmurfs
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE



Le fichier /etc/shorewall/policy
Permet d'accepter ou de rejeter le trafic entre les différentes zones.

# Policies for traffic originating from the local LAN (loc)
#
# If you want to force clients to access the Internet via a proxy server
# on your firewall, change the loc to net policy to REJECT info.
loc             net             ACCEPT
loc             $FW             ACCEPT
loc             all             REJECT          info

#
# Policies for traffic originating from the firewall ($FW)
#
# If you want open access to the Internet from your firewall, change the
# $FW to net policy to ACCEPT and remove the 'info' LOG LEVEL.
# This may be useful if you run a proxy server on the firewall.
$FW             net             ACCEPT
$FW             loc             ACCEPT
$FW             all             ACCEPT

#
# Policies for traffic originating from the Internet zone (net)
#
net             $FW             DROP            info
net             loc             DROP            info
net             all             DROP            info

# THE FOLLOWING POLICY MUST BE LAST
all             all             REJECT          info

#LAST LINE -- ADD YOUR ENTRIES ABOVE THIS LINE -- DO NOT REMOVE



Le fichier /etc/shorewall/rules
est le fichier de configuration de la partie firewall.

A vous de le configurer selon vos besoins.


Le fichier /etc/shorewall/routestopped
permet le routage sur les interfaces définis dans ce fichier lorsque shorewall n'est pas démarré.

#INTERFACE      HOST(S)                  OPTIONS
eth1            -
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE



Par défaut shorewall ne peut pas démarrer tant que vous n'avez pas modifier le fichier /etc/default/shorewall
et changer la ligne :

startup=0

par

startup=1


Vous pouvez maintenant démarrer shorewall :

Image:Konsole.png
[root@ordi ~]# /etc/init.d/shorewall start


Liens

FuReX 7 mai 2008 à 14:18 (CEST)