[resolu] regles de bases pour shorewall

totoche974 · Février 20, 2016, 11:59pm

j’ai 2 interfaces la 1ère eth0 (192.168.1.2) relier à ma neuf box qui à elle une ip fixe (192.168.1.1)
mon interface 2 (192.168.10.1) eth1 est relier à un switch pour mon réseau local.

après avoir installé shorewall ainsi que l’exemple de base fourni (two-interfaces)
je n’arrive pas à me connecter au net à la fois avec la machine hébergent le firewall et les machines du réseau.

comment arriver à partager cette connexion

voici une partie des logs

Nov 1 17:48:27 debian kernel: [36084.314362] Shorewall:fw2net:REJECT:IN= OUT=eth0 SRC=192.168.1.2 DST=193.218.105.9 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=58906 DF PROTO=TCP SPT=41246 DPT=80 WINDOW=5840 RES=0x00 SYN URGP=0
Nov 1 17:48:27 debian kernel: [36084.324020] Shorewall:fw2net:REJECT:IN= OUT=eth0 SRC=192.168.1.2 DST=149.6.161.117 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=10785 DF PROTO=TCP SPT=41909 DPT=80 WINDOW=5840 RES=0x00 SYN URGP=0
Nov 1 17:48:27 debian kernel: [36084.324020] Shorewall:fw2net:REJECT:IN= OUT=eth0 SRC=192.168.1.2 DST=193.218.105.9 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=65105 DF PROTO=TCP SPT=41248 DPT=80 WINDOW=5840 RES=0x00 SYN URGP=0
Nov 1 17:48:27 debian kernel: [36084.324020] Shorewall:fw2net:REJECT:IN= OUT=eth0 SRC=192.168.1.2 DST=91.193.56.105 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=11623 DF PROTO=TCP SPT=44386 DPT=80 WINDOW=5840 RES=0x00 SYN URGP=0
Nov 1 17:48:27 debian kernel: [36084.324020] Shorewall:fw2net:REJECT:IN= OUT=eth0 SRC=192.168.1.2 DST=193.52.101.131 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=50324 DF PROTO=TCP SPT=38009 DPT=80 WINDOW=5840 RES=0x00 SYN URGP=0
Nov 1 17:48:27 debian kernel: [36084.324020] Shorewall:fw2net:REJECT:IN= OUT=eth0 SRC=192.168.1.2 DST=193.51.160.14 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=3167 DF PROTO=TCP SPT=35469 DPT=80 WINDOW=5840 RES=0x00 SYN URGP=0

j’aimerais bien sortir de mon réseau dans un premier temps avant de commencer les règles ftp, webmin etc…

merci a+ gilles

lol · Février 20, 2016, 11:59pm

Salut,

Pour t’aider il nous faut plus de détails évidemment…
Donne-nous le contenu des fichiers de conf. Tu as paramétré Shorewall avec Webmin ?
Les “confs” sont dans /etc/shorewall si mes souvenirs sont bons. Je n’utilise plus Shorewall depuis un moment…

totoche974 · Février 20, 2016, 11:59pm

merci pour ta reponse voila les fichiers de conf

je reussi à sortir sur le net avec le PC qui heberge le firewall
mais impossible de sortir avec les PC du reseau local

quelle serais la conf de l’interface reseau de mon xp pour sortir ?

ma freebox est en 192.168.1.1 avec le mode dhcp activé

eth0 = dhcp

mon poste xp impossible à sortir ou pinguer le reseau local tous est rejeter

Nov 2 13:38:28 debian kernel: [22524.915388] Shorewall:all2all:REJECT:IN=eth1 OUT= MAC=00:26:5a:bf:91:cf:00:24:1d:c8:01:cd:08:00 SRC=192.168.10.5 DST=192.168.10.1 LEN=48 TOS=0x00 PREC=0x00 TTL=128 ID=16645 DF PROTO=TCP SPT=2216 DPT=3128 WINDOW=65535 RES=0x00 SYN URGP=0
Nov 2 13:38:29 debian kernel: [22525.363646] Shorewall:all2all:REJECT:IN=eth1 OUT= MAC=00:26:5a:bf:91:cf:00:24:1d:c8:01:cd:08:00 SRC=192.168.10.5 DST=192.168.10.1 LEN=48 TOS=0x00 PREC=0x00 TTL=128 ID=16648 DF PROTO=TCP SPT=2216 DPT=3128 WINDOW=65535 RES=0x00 SYN URGP=0
Nov 2 13:38:29 debian kernel: [22525.870206] Shorewall:all2all:REJECT:IN=eth1 OUT= MAC=00:26:5a:bf:91:cf:00:24:1d:c8:01:cd:08:00 SRC=192.168.10.5 DST=192.168.10.1 LEN=48 TOS=0x00 PREC=0x00 TTL=128 ID=16653 DF PROTO=TCP SPT=2216 DPT=3128 WINDOW=65535 RES=0x00 SYN URGP=0

fichier interface

fichier policy

fichier rules

le shorewall.conf

###############################################################################

/etc/shorewall/shorewall.conf V4.0 - Change the following variables to

match your setup

This program is under GPL

[gnu.org/licenses/old-licenses/gpl-2.0.txt]

This file should be placed in /etc/shorewall

© 1999,2000,2001,2002,2003,2004,2005,

2006,2007 - Tom Eastep (teastep@shorewall.net)

For information about the settings in this file, type “man shorewall.conf”

Additional information is available at

shorewall.net/Documentation.htm#Conf

###############################################################################

S T A R T U P E N A B L E D

###############################################################################

STARTUP_ENABLED=Yes

###############################################################################

V E R B O S I T Y

###############################################################################

VERBOSITY=1

###############################################################################

C O M P I L E R

(setting this to ‘perl’ requires installation of Shorewall-perl)

###############################################################################

SHOREWALL_COMPILER=

###############################################################################

L O G G I N G

###############################################################################

LOGFILE=/var/log/messages
LOGFORMAT="Shorewall:%s:%s:"
LOGTAGONLY=No
LOGRATE=
LOGBURST=
LOGALLNEW=
BLACKLIST_LOGLEVEL=
MACLIST_LOG_LEVEL=info
TCP_FLAGS_LOG_LEVEL=info
RFC1918_LOG_LEVEL=info
SMURF_LOG_LEVEL=info
LOG_MARTIANS=No

###############################################################################

L O C A T I O N O F F I L E S A N D D I R E C T O R I E S

###############################################################################

IPTABLES=
PATH=/sbin:/bin:/usr/sbin:/usr/bin:/usr/local/bin:/usr/local/sbin
SHOREWALL_SHELL=/bin/sh
SUBSYSLOCK=""
MODULESDIR=
CONFIG_PATH=/etc/shorewall:/usr/share/shorewall
RESTOREFILE=
IPSECFILE=zones
LOCKFILE=

###############################################################################

D E F A U L T A C T I O N S / M A C R O S

###############################################################################

DROP_DEFAULT="Drop"
REJECT_DEFAULT="Reject"
ACCEPT_DEFAULT="none"
QUEUE_DEFAULT="none"
NFQUEUE_DEFAULT=“none”

###############################################################################

R S H / R C P C O M M A N D S

###############################################################################

RSH_COMMAND='ssh ${root}@${system} ${command}'
RCP_COMMAND=‘scp ${files} ${root}@${system}:${destination}’

###############################################################################

F I R E W A L L O P T I O N S

###############################################################################

IP_FORWARDING=on
ADD_IP_ALIASES=Yes
ADD_SNAT_ALIASES=No
RETAIN_ALIASES=No
TC_ENABLED=Internal
TC_EXPERT=No
CLEAR_TC=Yes
MARK_IN_FORWARD_CHAIN=No
CLAMPMSS=No
ROUTE_FILTER=Yes
DETECT_DNAT_IPADDRS=No
MUTEX_TIMEOUT=60
ADMINISABSENTMINDED=Yes
BLACKLISTNEWONLY=Yes
DELAYBLACKLISTLOAD=No
MODULE_SUFFIX=
DISABLE_IPV6=Yes
BRIDGING=No
DYNAMIC_ZONES=No
PKTTYPE=Yes
RFC1918_STRICT=No
MACLIST_TABLE=filter
MACLIST_TTL=
SAVE_IPSETS=No
MAPOLDACTIONS=No
FASTACCEPT=No
IMPLICIT_CONTINUE=Yes
HIGH_ROUTE_MARKS=No
USE_ACTIONS=Yes
OPTIMIZE=0
EXPORTPARAMS=Yes
EXPAND_POLICIES=Yes
KEEP_RT_TABLES=No
DELETE_THEN_ADD=Yes
MULTICAST=No
DONT_LOAD=

###############################################################################

P A C K E T D I S P O S I T I O N

###############################################################################

BLACKLIST_DISPOSITION=DROP
MACLIST_DISPOSITION=REJECT
TCP_FLAGS_DISPOSITION=DROP
#LAST LINE – DO NOT REMOVE

j’ai fait aussi un
echo 1 > /proc/sys/net/ipv4/ip_forward

a+ gilles

lol · Février 20, 2016, 11:59pm

Salut,
Désolé, je n’étais pas là hier.
Encore une fois : Je n’utilise plus Shorewall depuis… un bail…

Dans ton fichier rules

ACCEPT fw net tcp 53
ACCEPT fw net udp 53
ACCEPT loc fw tcp 53
ACCEPT loc fw udp 53
ACCEPT $FW loc icmp
ACCEPT loc $FW icmp

Tu n’accepte que le DNS ? (Je ne sais plus s’il faut ACCEPT loc > net) Mais en tout cas, il te faut ouvrir plus de ports que le 53…
Au minimum le 80 pour surfer.

totoche974 · Février 21, 2016, 12:01am

tu n’as pas à être désolé si tu est absent. c’est déjà pas mal de filer un coup de main

voila ou j’en suis

Accept DNS connections from the firewall to the network

#DNS/ACCEPT $FW net
ACCEPT fw net tcp 53
ACCEPT fw net udp 53
ACCEPT loc fw tcp 53
ACCEPT loc fw udp 53

Accept SSH connections from the local network for administration

#SSH/ACCEPT loc $FW

Allow Ping from the local network

#Ping/ACCEPT loc $FW

Drop Ping from the “bad” net zone… and prevent your log from being flooded…

#Ping/DROP net $FW

ACCEPT $FW loc icmp
ACCEPT loc $FW icmp

ACCEPT $FW net icmp

ACCEPT:info loc $FW tcp 22
ACCEPT net loc tcp 22
ACCEPT loc $FW tcp 10000
DNAT:info $FW loc:192.168.10.3 tcp 21
ACCEPT loc fw tcp 80
ACCEPT loc $FW tcp 8765
ACCEPT loc $FW tcp 443
ACCEPT loc fw tcp 8888

par contre voila comment j’ai paramétrer mon xp : est ce bon ??? j’ai un doute

bizarrement je récupère des mails avec outlook qui sont sur une boite externe (laposte.net) alors
que le port 110 est ferme sur le firewall

mon serveur de mails est installe mais pas encore configure pour la récupération des mails des boites externes

j’ai un SSH que je voudrais faire tourné sur le port 2222 (sshd.conf configure pour )
mais impossible le firewall ne veut pas de cette regle

idem pour mon FTP qui est sur l’IP 192.168.10.3 avec le port 2100

PascalHambourg · Février 21, 2016, 12:01am

Non : l’adresse de passerelle devrait être celle du côté du réseau local, 192.168.10.1. Je suis étonné que Windows accepte une adresse de passerelle en dehors de son sous-réseau.

Ton fichier policy contient

ce qui, si je ne me trompe pas, autorise par défaut toutes les communications depuis le réseau local vers l’extérieur, sauf règle contraire dans le fichier rules.

sshd_config tu veux dire ? Qu’entends-tu exactement “par impossible le firewall ne veut pas de cette règle” ?

Pour info tu risques d’avoir des problèmes si tu utilises FTP sur un port autre que 21.

PS : je ne connais pas bien shorewall, quelle est la différence entre fw et $FW ?

totoche974 · Février 21, 2016, 12:01am

bonjour PascalHambourg et merci pour ta réponse

mon doute étais fondé pour le param de xp j’ai mis 192.168.10.1, ca marche

mon fichier policy contient bien

loc net ACCEPT

quel boulet je suis, c’est moi même qui est fait ca

pour le SSH c’est bien le fichier sshd_config que j’ai modifier pour le faire marcher sur le port 2222
quant à la régle que j’ai mise dans le fichier rules

ACCEPT:info loc $FW tcp 2222

maintenant ca marche le port 2222 est bien pris en compte
sans doute j’avais oublier de recharger la conf
temps mieux

voila la ligne du fichier /var/log/messages

$FW est une variable de shorewall qui désigne la machine ou est héberge le firewall

quelle serais la raison du problème ??

a+ gilles

PascalHambourg · Février 21, 2016, 12:01am

Et que représente “fw” ?

Le problème avec le protocole FTP, c’est qu’il nécessite une prise en charge spécifique par les dispositifs de NAT et de filtrage à états (pile ce que fait shorewall). La prise en charge automatique passe par l’examen de la communication sur les connexions de commande. Ces connexions de commande FTP sont identifiées par leur port, qui est par défaut le port 21. Si elle utilise un autre port, elle ne sera pas examinée et les opérations nécessaires ne seront pas effectuées.

A noter que le module de suivi de connexion FTP du noyau Linux, nf_conntrack_ftp, permet de spécifier d’autres ports avec le paramètre ports=. Mais cela peut ne pas suffire si la connexion FTP passe par d’autres routeurs NAT ou pare-feux à état (notamment la box internet) qui ne gèrent les connexions FTP que sur le port 21.

totoche974 · Février 21, 2016, 12:01am

fw est le nom de la zone on pourrais l’appeler toto

ok pour le ftp je vais basculer les fichiers sur le nas