Installation et configuration de shorewall

nc4d · Février 20, 2016, 3:44pm

Bonjour,
Non apparement cela ne va pas.
Les lignes des fichiers de configuration linux commençant par # ne sont pas prises en compte (comme les commentaires par ex.).

Ensuite la politique par défaut de shorewall autorise tous les paquets sortants (pour faire simple), donc en génnéral les lignes autorisant traffic du firewall vers le net ne sont pas utiles, cela permet juste de mieux “visualiser” l’etat du parefeu en regardant le fichier rules.

Ce que je te conseille comme /etc/shorewall/rules selon ton exemple:

[code]## HTTP (exemple)
ACCEPT net $FW tcp 80
ACCEPT $FW net tcp 80

HTTPS (exemple)

ACCEPT net $FW tcp 443
ACCEPT $FW net tcp 443[/code]

mafia · Février 20, 2016, 3:44pm

jai fait une nouvelle installation de debian tous marche bien sauf le firewall erreur

debian:~# shorewall restart Compiling... Determining Zones... IPv4 Zones: net Firewall Zone: fw Validating interfaces file... Validating hosts file... Validating Policy file... Determining Hosts in Zones... net Zone: eth0:0.0.0.0/0 Pre-processing Actions... Pre-processing /usr/share/shorewall/action.Drop... Pre-processing /usr/share/shorewall/action.Reject... Pre-processing /usr/share/shorewall/action.Limit... Deleting user chains... Compiling /etc/shorewall/routestopped ... Creating Interface Chains... Compiling Proxy ARP Compiling NAT... Compiling NETMAP... Compiling Common Rules Adding Anti-smurf Rules Adding rules for DHCP Compiling TCP Flags checking... Compiling Kernel Route Filtering... Compiling Martian Logging... Compiling IP Forwarding... Compiling /etc/shorewall/rules... Compiling Actions... Compiling /usr/share/shorewall/action.Drop for Chain Drop... Compiling /usr/share/shorewall/action.Reject for Chain Reject... Compiling /etc/shorewall/policy... Compiling Traffic Control Rules... Validating /etc/shorewall/tcdevices... Validating /etc/shorewall/tcclasses... Compiling Rule Activation... Compiling Refresh of Black List... Validating /etc/shorewall/tcdevices... Validating /etc/shorewall/tcclasses... Shorewall configuration compiled to /var/lib/shorewall/.restart Shorewall is not running Starting Shorewall.... Initializing... Clearing Traffic Control/QOS Deleting user chains... Enabling Loopback and DNS Lookups Creating Interface Chains... Setting up Proxy ARP... Setting up one-to-one NAT... Setting up SMURF control... Setting up Black List... Adding Anti-smurf Jumps... Setting up rules for DHCP... Setting up TCP Flags checking... Setting up ARP filtering... Setting up Route Filtering... WARNING: Cannot set route filtering on eth0 Setting up Martian Logging... WARNING: Cannot set Martian logging on eth0 Setting up Accept Source Routing... Setting up SYN Flood Protection... Setting up IPSEC management... Setting up Rules... Setting up Actions... Creating action chain Drop Creating action chain Reject Creating action chain dropBcast Creating action chain dropInvalid Creating action chain dropNotSyn Applying Policies... Setting up TC Rules... Activating Rules... done. debian:~#

connection 100 mega + routeur

mafia · Février 20, 2016, 3:45pm

quand astive le firewall e peux plus avoir le net

qui peux m aide merci nouvelle installation debian etch

tous propre depuis hier soir

debian:~# shorewall start Compiling... Initializing... Determining Zones... IPv4 Zones: net Firewall Zone: fw Validating interfaces file... Validating hosts file... Validating Policy file... Determining Hosts in Zones... net Zone: eth0:0.0.0.0/0 Pre-processing Actions... Pre-processing /usr/share/shorewall/action.Drop... Pre-processing /usr/share/shorewall/action.Reject... Pre-processing /usr/share/shorewall/action.Limit... Deleting user chains... Compiling /etc/shorewall/routestopped ... Creating Interface Chains... Compiling Proxy ARP Compiling NAT... Compiling NETMAP... Compiling Common Rules Adding Anti-smurf Rules Adding rules for DHCP Enabling RFC1918 Filtering Compiling TCP Flags checking... Compiling Kernel Route Filtering... Compiling Martian Logging... Compiling IP Forwarding... Compiling /etc/shorewall/rules... Compiling Actions... Compiling /usr/share/shorewall/action.Drop for Chain Drop... Compiling /usr/share/shorewall/action.Reject for Chain Reject... Compiling /etc/shorewall/policy... Compiling Traffic Control Rules... Validating /etc/shorewall/tcdevices... Validating /etc/shorewall/tcclasses... Compiling Rule Activation... Compiling Refresh of Black List... Validating /etc/shorewall/tcdevices... Validating /etc/shorewall/tcclasses... Shorewall configuration compiled to /var/lib/shorewall/.start Starting Shorewall.... Initializing... Clearing Traffic Control/QOS Deleting user chains... Enabling Loopback and DNS Lookups Creating Interface Chains... Setting up Proxy ARP... Setting up one-to-one NAT... Setting up SMURF control... Setting up Black List... Adding Anti-smurf Jumps... Setting up rules for DHCP... Setting up RFC1918 Filtering... Setting up TCP Flags checking... Setting up ARP filtering... Setting up Route Filtering... WARNING: Cannot set route filtering on eth0 Setting up Martian Logging... WARNING: Cannot set Martian logging on eth0 Setting up Accept Source Routing... Setting up SYN Flood Protection... Setting up IPSEC management... Setting up Rules... Setting up Actions... Creating action chain Drop Creating action chain Reject Creating action chain dropBcast Creating action chain dropInvalid Creating action chain dropNotSyn Applying Policies... Setting up TC Rules... Activating Rules... done. debian:~#

mafia · Février 20, 2016, 3:46pm

je fait comment merci

mattotop · Février 20, 2016, 3:46pm

tu as refait ce qui a fait marcher ta première installation ?

coldroom · Février 20, 2016, 3:47pm

Question : Mettons que j’ai une machine qui fasse office de firewall et que derrière j’en ai une autre qui fasse office de serveur, comment, dans le cas où j’ai un serveur web, je redirige les demandes de connexions venant de l’exterieur vers la machine serveur ?

Parceque là on accèpte ou on refuse les connexion sur la machine, on ne redirige en aucun cas les paquets vers d’autre postes… y-a-t-il moyen de mettre ça en place avec shorewall ?

mafia · Février 20, 2016, 3:54pm

re faut il ajouter une commande pour le routeur

mattotop · Février 20, 2016, 3:54pm

quote="coldroom"
Parceque là on accèpte ou on refuse les connexion sur la machine, on ne redirige en aucun cas les paquets vers d’autre postes…[/quote]Non. C’est aussi avec le “parefeu” qu’on redirige.[quote=“coldroom”] y-a-t-il moyen de mettre ça en place avec shorewall ?[/quote]Sans doutes, mais shorewall est basé sur iptables, et il vaut mieux comprendre et maitriser iptables.

mafia · Février 20, 2016, 3:54pm

pour css 1.6 c est bon comme cela les regles

UDP 1200
UDP 27000 à 27015
UDP 27020 TCP 27030 à 27039
TCP 27015

##ccs ()
ACCEPT net $FW udp 1200
ACCEPT $FW net udp 1200

##css ()
ACCEPT net $FW udp 27020
ACCEPT $FW net udp 27020

##css ()
ACCEPT net $FW tcp 27015
ACCEPT $FW net tcp 27015

##css ()
ACCEPT net $FW udp 27000:27015
ACCEPT $FW net udp 27000:27015

##css ()
ACCEPT net $FW tcp 27030:27039
ACCEPT $FW net tcp 27030:27039

mafia · Février 20, 2016, 3:56pm

personne

mafia · Février 20, 2016, 4:20pm

j a i petit probleme des que je lance je peux plus aller sur le web ( y a t il un regle a jouter dans oui ip )
etc/shorewall/rules

swiip81 · Février 20, 2016, 4:20pm

tcp 80

mafia · Février 20, 2016, 5:08pm

bonjour

c est mieux iptable ou shorewal
*
simon dans /etc/shorewall/rules
il faut ajouter ip du routeur oui ou non merci

mafia · Février 20, 2016, 5:08pm

toujour personne

mafia · Février 20, 2016, 5:16pm

toujour personne qui peut m aide

mafia · Février 20, 2016, 5:17pm

bon on veux plus m aide ici

mattotop · Février 20, 2016, 5:17pm

Eh non. Toujours personne.

mafia · Février 20, 2016, 5:44pm

bon c est bon j ai réussi une petite question je voudrais bloquer des ports merci bon parfeu

mafia · Février 20, 2016, 7:16pm

bonjour

qui peut me dire si mes regles de securites son bonne merci

parcontre je voudrais ajoute les port de mumble ventilo et ts

comment ajouter cette regle

Syn-Flood Spoofing

merci

[code]#############################################################################################################
#ACTION SOURCE DEST PROTO DEST SOURCE ORIGINAL RATE USER/

PORT PORT(S) DEST LIMIT GROUP

Ping

DROP net $FW icmp
ACCEPT $FW net icmp

Masquer identité

DROP net $FW tcp 113

aMule SERVER

#ACCEPT net $FW tcp 4662
#ACCEPT net $FW udp 4672

Ftp en mode passif (exemple)

ACCEPT net $FW tcp 21
ACCEPT $FW net tcp 21
ACCEPT net $FW tcp 50000:50100
ACCEPT $FW net tcp 50000:50100

HTTP (exemple)

ACCEPT net $FW tcp 80
ACCEPT $FW net tcp 80

HTTPS (exemple)

ACCEPT net $FW tcp 443
ACCEPT $FW net tcp 443

ISPConfig

ACCEPT net $FW tcp 81
ACCEPT $FW net tcp 81

Webmin

ACCEPT net $FW tcp 10000
ACCEPT $FW net tcp 10000

SSH

#ACCEPT net $FW tcp 4365
#ACCEPT $FW net tcp 4365

SMTP

#ACCEPT net $FW tcp 25
#ACCEPT $FW net tcp 25

DNS

#ACCEPT net $FW tcp 53
#ACCEPT net $FW udp 53

POP3

#ACCEPT net $FW tcp 110
#ACCEPT $FW net tcp 110

IMAP2

#ACCEPT net $FW tcp 143
#ACCEPT $FW net tcp 143

#LAST LINE – ADD YOUR ENTRIES BEFORE THIS ONE – DO NOT REMOVE[/code]

mafia · Février 21, 2016, 3:54am

bonsoir

je recherche les régler de amsn merci