SHOREWALL, configuration des rules

Bonjour,

J’ai un serveur dédié.
J’aurais voulu un petit coup de main sur le paramétrage de mon firewall shorewall.

Je l’ai paramétré de manière à ce que seulement 2 stations clientes distantes puissent utiliser les ports FTP, grâce a leur Hostname crées chez dyndns.

[quote]ACCEPT net:station1.dyndns.net,station2.dyndns.org $FW tcp 21
ACCEPT net:station1.dyndns.net,station2.dyndns.org $FW tcp 20
ACCEPT net:station1.dyndns.net,station2.dyndns.org $FW tcp 40000:40100[/quote]

Donc ça marche nickel. ca filtre bien sur les Hostname des stations clientes.

Par contre chaque jour je suis obligé de faire 1 restart du firewall pour pouvoir me connecter au FTP.

Si vous avez une idée sur la manière de régler ce soucis.

Merci par avance.

Les règles shorewall sont in fine converties en règles iptables. Or la résolution des noms d’hôtes en adresses IP se fait une fois pour toute lors de la création des règles iptables, et non lors de l’examen d’un paquet. En effet les règles iptables sont dans le noyau, et le noyau ne connaît rien à la résolution de noms, que ce soit par DNS, fichier /etc/hosts ou autre.

Par conséquent il faut inévitablement recréer ces règles après chaque changement d’adresse IP. Un système quelconque (port knocking déclenché par les clients dyndns, cronjob périodique…) pourrait éventuellement vérifier si une des adresses a changé et forcer une mise à jour des règles.

PS: J’ose espérer que shorewall utilise le suivi de connexion. Dans ce cas, si le module de suivi de connexion FTP ip_conntrack_ftp (ou nf_conntrack_ftp) est chargé, seule la première règle, relative au port 21, devrait être nécessaire.

Merçi pour ta réponse.

Je suis un peu bloqué. J’ai très peu de connaissance sur le sujet, pour le moment.
Je vais continué à aller à la pêche aux infos.