Ce site est optimisé pour être consulté depuis un navigateur moderne dans lequel JavaScript est activé.

Guide d'installation et configuration de Shorewall

Vinvin2021

Bon, il y a du mieux ! 😃
Conformément à la documentation, j'ai adapté le fichier /etc/shorewall/interfaces à ma connexion internet (pas de routeur, la carte ethernet est reliée à un simple modem, la connexion est paramétrée avec pppoeconf).

Voici donc la fin du fichier interfaces :

#
###############################################################################
#ZONE    INTERFACE    BROADCAST    OPTIONS
net     ppp0            -          norfc1918,routefilter,tcpflags,logmartians,nosmurfs
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE

Dans le répertoire /usr/share/shorewall, j'ai supprimé les macros, à l'exception des 6 macros suivantes : macro.AllowICMP macro.Auth macro.DropDNSrep macro.DropUPnP macro.Ping macro.SMB

Et voici le logs de démarrage qui s'affiche quand je tape « sudo shorewall start » :

Loading /usr/share/shorewall/functions...
Processing /etc/shorewall/shorewall.conf...
Loading Modules...
Starting Shorewall...
Initializing...
Shorewall has detected the following iptables/netfilter capabilities:
   NAT: Available
   Packet Mangling: Available
   Multi-port Match: Available
   Extended Multi-port Match: Available
   Connection Tracking Match: Available
   Packet Type Match: Available
   Policy Match: Not available
   Physdev Match: Available
   IP range Match: Available
   Recent Match: Available
   Owner Match: Available
   Ipset Match: Not available
   CONNMARK Target: Available
   Connmark Match: Available
   Raw Table: Available
   CLASSIFY Target: Available
Determining Zones...
   IPv4 Zones: net
   Firewall Zone: fw
Validating interfaces file...
Validating hosts file...
Validating Policy file...
Determining Hosts in Zones...
   net Zone: ppp0:0.0.0.0/0
Pre-processing Actions...
   Pre-processing /usr/share/shorewall/action.Drop...
   ..Expanding Macro /usr/share/shorewall/macro.Auth...
   ..End Macro
   ..Expanding Macro /usr/share/shorewall/macro.AllowICMPs...
   ..End Macro
   ..Expanding Macro /usr/share/shorewall/macro.SMB...
   ..End Macro
   ..Expanding Macro /usr/share/shorewall/macro.DropUPnP...
   ..End Macro
   ..Expanding Macro /usr/share/shorewall/macro.DropDNSrep...
   ..End Macro
   Pre-processing /usr/share/shorewall/action.Reject...
   Pre-processing /usr/share/shorewall/action.Limit...
Deleting user chains...
Processing /etc/shorewall/routestopped ...
Creating Interface Chains...
Configuring Proxy ARP
Setting up NAT...
Setting up NETMAP...
Adding Common Rules
Adding Anti-smurf Rules
Enabling RFC1918 Filtering
Setting up TCP Flags checking...
Setting up Kernel Route Filtering...
Setting up Martian Logging...
Setting up IPSEC...
Processing /etc/shorewall/rules...
..Expanding Macro /usr/share/shorewall/macro.Ping...
   Rule "REJECT net fw icmp 8 - - - -" added.
..End Macro
   Rule "ACCEPT fw net icmp     " added.
   Rule "DROP net fw tcp 113    " added.
Processing Actions...
   Generating Transitive Closure of Used-action List...
Processing /usr/share/shorewall/action.Drop for Chain Drop...
..Expanding Macro /usr/share/shorewall/macro.Auth...
   Rule "REJECT - - tcp 113 -  -" added.
..End Macro
   Rule "dropBcast       " added.
..Expanding Macro /usr/share/shorewall/macro.AllowICMPs...
   Rule "ACCEPT - - icmp fragmentation-needed -  -" added.
   Rule "ACCEPT - - icmp time-exceeded -  -" added.
..End Macro
   Rule "dropInvalid       " added.
..Expanding Macro /usr/share/shorewall/macro.SMB...
   Rule "DROP - - udp 135,445 -  -" added.
   Rule "DROP - - udp 137:139 -  -" added.
   Rule "DROP - - udp 1024: 137  -" added.
   Rule "DROP - - tcp 135,139,445 -  -" added.
..End Macro
..Expanding Macro /usr/share/shorewall/macro.DropUPnP...
   Rule "DROP - - udp 1900 -  -" added.
..End Macro
   Rule "dropNotSyn - - tcp    " added.
..Expanding Macro /usr/share/shorewall/macro.DropDNSrep...
   Rule "DROP - - udp - 53  -" added.
..End Macro
Processing /usr/share/shorewall/action.Reject for Chain Reject...
..Expanding Macro /usr/share/shorewall/macro.Auth...
   Rule "REJECT - - tcp 113 -  -" added.
..End Macro
   Rule "dropBcast       " added.
..Expanding Macro /usr/share/shorewall/macro.AllowICMPs...
   Rule "ACCEPT - - icmp fragmentation-needed -  -" added.
   Rule "ACCEPT - - icmp time-exceeded -  -" added.
..End Macro
   Rule "dropInvalid       " added.
..Expanding Macro /usr/share/shorewall/macro.SMB...
   Rule "REJECT - - udp 135,445 -  -" added.
   Rule "REJECT - - udp 137:139 -  -" added.
   Rule "REJECT - - udp 1024: 137  -" added.
   Rule "REJECT - - tcp 135,139,445 -  -" added.
..End Macro
..Expanding Macro /usr/share/shorewall/macro.DropUPnP...
   Rule "DROP - - udp 1900 -  -" added.
..End Macro
   Rule "dropNotSyn - - tcp    " added.
..Expanding Macro /usr/share/shorewall/macro.DropDNSrep...
   Rule "DROP - - udp - 53  -" added.
..End Macro
Processing /etc/shorewall/policy...
   Policy ACCEPT for fw to net using chain fw2net
   Policy DROP for net to fw using chain net2all
Setting up Traffic Control Rules...
Validating /etc/shorewall/tcdevices...
Validating /etc/shorewall/tcclasses...
Activating Rules...
Shorewall Started

Par rapport à Patgrisly, j'ai :

Determining Zones...
IPv4 Zones: net
Firewall Zone: fw

au lieu de :

IPv4 Zones: Code net

Determining Hosts in Zones...
net Zone: ppp0:0.0.0.0/0

au lieu de

net Zone: eth0:0.0.0.0/0

Pas de warning chez moi.

Les tests de sécurité en ligne sont maintenant passés avec succès ! Chouette ! 😛
Le plus rigolo dans cette histoire, c'est qu'un copain vient de me filer un routeur ADSL. Je devrais donc changer de type de connexion ! 😃

patgrisly

vinvin a écritLe plus rigolo dans cette histoire, c'est qu'un copain vient de me filer un routeur ADSL. Je devrais donc changer de type de connexion ! big_smile

Ca nous auras permis d'avancer sur la question,je vais encore chercher quoi faire avec ces macros.
Amicalement, patte.

[supprimé]

hello...
comment installer un firewall sans se casser la tête
ben, on suivant ce tuto :cool:
merci beaucoup

sauf que j'ai le port 808 ouvert avec la config de base
il y a une raison particulière à que ce port reste ouvert ?

Vinvin2021

Ah ?
C'est bizarre, normalement tous les ports sont invisibles avec la configuration par défaut. Tu as peut-être un message d'erreur lorsque tu lances shorewall ?
Ou alors tu peux ajouter manuellement la ligne suivante à la fin du fichier rules :

DROP    net     $FW     tcp     808

Peut-être faut-il également ajouter celle-ci :

DROP    net     $FW     udp     808

[supprimé]

Vinvin2021 a écritAh ?
C'est bizarre, normalement tous les ports sont invisibles avec la configuration par défaut. Tu as peut-être un message d'erreur lorsque tu lances shorewall ?

hello
non aucun message particulier

Vinvin2021 a écritOu alors tu peux ajouter manuellement la ligne suivante à la fin du fichier rules :

DROP    net     $FW     tcp     808

Peut-être faut-il également ajouter celle-ci :

DROP    net     $FW     udp     808

oké : je viens de mettre les 2 règles
j'ai relancé shorewall
relancé ensuite le test de grc.com et il me sort encore que le 808 est ouvert

Vinvin2021

Euh .... Je ne sais pas ...
Essaie en ajoutant également cette règle-ci :

DROP    net     $FW     icmp     808

Vinvin2021

Pour tester son pare-feux en ligne, il ya également ce site http://www.pcflank.com/ (« Test Your System » sur la gauche). Et voici une introduction aux réseaux informatiques et à la sécurité http://olivieraj.free.fr/fr/linux/information/firewall/

[supprimé]

ok vinvin je vais faire ca...
je signale aussi que les regles bloquent l'acces au lan :
avant quand je demandais serveurs reseaux j'avais le groupe microsoft visible avec tous les volumes partages
et maintenant plus rien.
le pire c'est qu'en arrêtant shorewall on ne retrouve pas le reseau...
je viens de le verifier en installant une autre machine avec ubuntu : sans shorewall on accede au lan, sur l'autre machine, meme avec shorewall stoppe, on n'y accede plus.

(desole pour les accents qui manquent : ce matin impossible de recuperer le clavier qui faut) 🙂

[supprimé]

🙁
ah ca marche pas vinvin :

iptables v1.3.3: Invalid ICMP type `808'

Vinvin2021

Ah mince ... :/ Je ne sais pas t'aider.

Ivan le pas terrible a écritle pire c'est qu'en arrêtant shorewall on ne retrouve pas le reseau...
je viens de le verifier en installant une autre machine avec ubuntu : sans shorewall on accede au lan, sur l'autre machine, meme avec shorewall stoppe, on n'y accede plus.

Tu pourrais essayer ça :
sudo shorewall clear
D'après le manuel, cela « Remove all rules and chains installed by the firewall »

[supprimé]

Salut,
J'ai configuré shorewall comme cela a été très bien expliqué précèdemment, et le firewall a passé les différents tests....donc a priori pas de problème à ce niveau là.
Par contre, j'ai un petit soucis avec le démarrage automatique de shorewall....en effet, après avoir mis startup=1 dans /etc/default/shorewall, je n'ai plus accès à internet!!!!!!
Du coup, j'ai remis le startup à 0 et je suis obligé de lancer shorewall manuellement 🙁
Est-ce que quelqu'un aurait une solution svp

beben

Merci a tous, je commencer a galerer grave.

Tres bon poste, il y a des liens tres utile aussi.

patgrisly

Je viens de réinstaller et c'est bon de retrouver une page comme celle-ci,
un bémol (amicale 🙂 )tout de même a propos des

sudo gedit

[supprimé]

Salut,
je re-deterre ce topic car j'ai toujours pas résolu mon problème....(voir mon message précédent)
Si une âme charitable pouvait m'aider 🙂

thaypan

Comment configurer un filtre IP avec Shorewall utilisant les Blacklist de Bluetrack.co.uk?

[supprimé]

Bonjour à tous,

j'utilise Shorewall v2.2.3 sur Debian.

je cherche à accéder à la passerelle web en déclarant dans les "rules" l'autorisation d'un MAC ADDRESS venant du net.

est-ce possible ? quel est la syntaxe à employer ?

j'explique :

le client distant dispose d'un IP de FAI dynamique ! Je ne peut donc pas l'autoriser !!
par contre sa MAC ADDRESS çà devrait le faire pour lui permettre d'accéder à mon réseau !

D'avance merci
Tof

chaoswizard

Merci bien, ça marche super !!! :cool:

kmchen

coussin: J'ai un début de réponse à ta question:
tu ajoutes l'option maclist dans une déclaration de ton fichier host ou interface
puis tu ajoutes l'adr mac de ton correspondant dans un fichier maclist:

/etc/shorewall$ cat hosts
loc     eth0:192.168.0.0/24     maclist
/etc/shorewall$ cat maclist
eth0            xx.xx.xx.xx.xx.xx
/etc/shorewall$ cat interfaces
-     eth0            detect          routefilter,dhcp,tcpflags,logmartians,nosmurfs,maclist

Mais pb (pour moi): plus d'accès WEB 😛

mafia

bonjour

des que j active le par feu j ai plus internet

debian:~# shorewall start
Compiling...
Initializing...
Determining Zones...
   IPv4 Zones: net
   Firewall Zone: fw
Validating interfaces file...
Validating hosts file...
Validating Policy file...
Determining Hosts in Zones...
   net Zone: eth0:0.0.0.0/0
Pre-processing Actions...
   Pre-processing /usr/share/shorewall/action.Drop...
   Pre-processing /usr/share/shorewall/action.Reject...
   Pre-processing /usr/share/shorewall/action.Limit...
Deleting user chains...
Compiling /etc/shorewall/routestopped ...
Creating Interface Chains...
Compiling Proxy ARP
Compiling NAT...
Compiling NETMAP...
Compiling Common Rules
Adding Anti-smurf Rules
Adding rules for DHCP
Enabling RFC1918 Filtering
Compiling TCP Flags checking...
Compiling Kernel Route Filtering...
Compiling Martian Logging...
Compiling IP Forwarding...
Compiling /etc/shorewall/rules...
Compiling Actions...
Compiling /usr/share/shorewall/action.Drop for Chain Drop...
Compiling /usr/share/shorewall/action.Reject for Chain Reject...
Compiling /etc/shorewall/policy...
Compiling Traffic Control Rules...
Validating /etc/shorewall/tcdevices...
Validating /etc/shorewall/tcclasses...
Compiling Rule Activation...
Compiling Refresh of Black List...
Validating /etc/shorewall/tcdevices...
Validating /etc/shorewall/tcclasses...
Shorewall configuration compiled to /var/lib/shorewall/.start
Starting Shorewall....
Initializing...
Clearing Traffic Control/QOS
Deleting user chains...
Enabling Loopback and DNS Lookups
Creating Interface Chains...
Setting up Proxy ARP...
Setting up one-to-one NAT...
Setting up SMURF control...
Setting up Black List...
Adding Anti-smurf Jumps...
Setting up rules for DHCP...
Setting up RFC1918 Filtering...
Setting up TCP Flags checking...
Setting up ARP filtering...
Setting up Route Filtering...
   WARNING: Cannot set route filtering on eth0
Setting up Martian Logging...
   WARNING: Cannot set Martian logging on eth0
Setting up Accept Source Routing...
Setting up SYN Flood Protection...
Setting up IPSEC management...
Setting up Rules...
Setting up Actions...
Creating action chain Drop
Creating action chain Reject
Creating action chain dropBcast
Creating action chain dropInvalid
Creating action chain dropNotSyn
Applying Policies...
Setting up TC Rules...
Activating Rules...

nano /etc/shorewall/interfaces

###############################################################################
#ZONE    INTERFACE    BROADCAST    OPTIONS
net     eth0            detect          norfc1918,routefilter,dhcp,tcpflags,log$#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE

connexion internet 100 mega plus routeur

merci

chaoswizard

Je te mets rapidement mes fichiers si ça peut t'aider :

interfaces :

#ZONE	INTERFACE	BROADCAST	OPTIONS
net     eth0            detect          routefilter,dhcp,tcpflags,logmartians,nosmurfs
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE

policy :

SOURCE		DEST		POLICY		LOG LEVEL	LIMIT:BURST
$FW		net		ACCEPT
net		all		DROP		info
# The FOLLOWING POLICY MUST BE LAST
all		all		REJECT		info
#LAST LINE -- ADD YOUR ENTRIES ABOVE THIS LINE -- DO NOT REMOVE

zones :

#ZONE	TYPE	OPTIONS			IN			OUT
#					OPTIONS			OPTIONS
fw	firewall
net	ipv4
#LAST LINE - ADD YOUR ENTRIES ABOVE THIS ONE - DO NOT REMOVE

« Page précédente Page suivante »