Outils pour utilisateurs

Outils du site


israd:firewall

Mise en place d'un routeur/firewall - shorewall

Créer un uml comportant :

 uml_switch -daemon -unix switch.lan
  • eth2 de type daemon (uml_switch) vers la dmz
 uml_switch -daemon -unix switch.dmz

Exemple de lingne de commande pour démarrer le FW :

linux mem=32M eth0=tuntap,,,IPHOST  eth1=daemon,,unix,switch.dmz eth2=daemon,,unix,switch.lan ubd0=fw.root con0=fd:0,fd:1 con=null umid=fw

Installer shorewall

apt-get install shorewall shorewall-doc

Le paquet shorewall-doc propose des configurations types pour 1, 2 ou trois interfaces. Nous nous intéressons à l'exemple pour trois interface (net, lan, dmz).

ls -l /usr/share/doc/shorewall-doc/examples/  
total 32
-rw-r--r--  1 root root 7245 Apr 12  2005 one-interface.tgz
-rw-r--r--  1 root root 8893 Apr 12  2005 three-interfaces.tgz
-rw-r--r--  1 root root 8758 Apr 12  2005 two-interfaces.tgz

Mettre le contenu de three-interfaces.tgz dans /etc/shorewall et éditer les différents fichiers. Tout les fichiers de configuration de shorewall sont abondamment commentés. Lisez les commentaires.

/etc/shorewall/zone contient la définition des zones que nous utiliserons. Ce fichier est cosmétique (utilisé essentiellement pour l'affichage) mais indispensable :

#ZONE   DISPLAY         COMMENTS
net     Net             Internet
loc     Local           Local Networks
dmz     DMZ             Demilitarized Zone

/etc/shorewall/interfaces associe des interfaces aux zones définies dans zone :

#ZONE   INTERFACE       BROADCAST       OPTIONS
net     eth0            detect          routefilter
loc     eth1            detect
dmz     eth2            detect

/etc/shorewall/policy défini la politique de sécurité que l'on veut appliquer.

loc             net             ACCEPT
loc             dmz             ACCEPT
net             all             DROP            info
all             all             REJECT          info

/etc/shorewall/masq indique les interface ou réseaux qui devront être 'masqués' (masquerade). dmz et lan sont des réseaux privés.

#INTERFACE              SUBNET          ADDRESS
eth0                    eth1
eth0                    eth2

/etc/shorewall/rules permet de définir les dérogations à la politique par défaut. Ex:

DNAT            net     dmz:192.168.153.2       tcp     80
ACCEPT          fw              net             tcp     53
ACCEPT          fw              net             udp     53
ACCEPT          loc             fw              tcp     22
ACCEPT          loc             dmz             tcp     22
ACCEPT  net:10.1.24.253         all             tcp     22
ACCEPT          dmz             net             tcp     53
ACCEPT          dmz             net             udp     53
ACCEPT          dmz             net             tcp     80
ACCEPT          dmz             net             tcp     21
ACCEPT          net             fw              icmp    8
ACCEPT          loc             fw              icmp    8
ACCEPT          dmz             fw              icmp    8
ACCEPT          loc             dmz             icmp    8
ACCEPT          dmz             loc             icmp    8
ACCEPT          dmz             net             icmp    8
ACCEPT          fw              net             icmp
ACCEPT          fw              loc             icmp
ACCEPT          fw              dmz             icmp
ACCEPT          net             dmz             icmp    8       # Only with Proxy ARP and
ACCEPT          net             loc             icmp    8       # static NAT

/etc/shorewall/shorewall.conf défini un ensemble de variables qui permettront de préciser comment doit réagir shorewall à certaine situations. Il est rrs commenté, lisez le. Il y a très peu de modifications à faire pour ce que l'on veut faire :

--- /root/shorewall.conf        2006-05-17 09:20:55.000000000 +0000
+++ shorewall.conf      2006-05-12 10:12:12.000000000 +0000
@@ -350,7 +350,7 @@
 # If you set this variable to "Keep" or "keep", Shorewall will neither
 # enable nor disable packet forwarding.
 #
-IP_FORWARDING=Keep
+IP_FORWARDING=On
 
 #
 # AUTOMATICALLY ADD NAT IP ADDRESSES
@@ -665,7 +665,7 @@
 # Shorewall to disable IPV6 traffic to/from and through your 
 # firewall system. This requires that you have ip6tables installed.
 
-DISABLE_IPV6=No
+DISABLE_IPV6=Yes
 
 #
 # BRIDGING

Pour que shorewall soit lancé au démarage vous devez modifier le fichier /etc/default/shorewall, remplacer 'startup=0' par 'startup=1'.

Lancement de shorewall :

/etc/init.d/shorewall start  # silencieux

ou

shorewall start # verbeux
israd/firewall.txt · Dernière modification: 2007/03/28 09:11 par delepine