| 1 |
On Tue, 2006-10-17 at 10:50 +0200, Geistteufel wrote: |
| 2 |
> Bonjour, j'ai un soucis pour configurer shorewall |
| 3 |
> |
| 4 |
> J'ai en tete de reseau un routeur qui me route mon ip public vers un |
| 5 |
> poste interne |
| 6 |
> [ROUTEUR] |
| 7 |
> [IPPUBLIC] => [HOSTINTERNE] |
| 8 |
> |
| 9 |
> Mes postes ont le dns et la passerelle regler sur [HOSTINTERNE] |
| 10 |
> [HOSTINTERNER] a une seul carte reseau du fait qu'il prend les ip public |
| 11 |
> directement |
| 12 |
|
| 13 |
Donc si j'ai bien compris tu as un routeur pour ton provider qui dessert |
| 14 |
ton adresse IP publique et une box qui fait office de routeur pour ton |
| 15 |
lan ainsi que serveur DNS. Ce qui donne ce shema: |
| 16 |
|
| 17 |
INET~~~~~~ |ROUTEUR ISP|~~~~~~~~~~~|HOSTINTERNE|~~~~~~~~~~~~~LAN |
| 18 |
(IP publique) (192.168.x0.y0) (192.168.x0.y1) |
| 19 |
(192.168.x2.y2) (192.168.x2/24) |
| 20 |
|
| 21 |
Ce qui fait que HOSTINTERNE est sensé être ton firewall sous shorewall. |
| 22 |
Premier problème: une seule carte réseau. L'idéal aurait été de le |
| 23 |
configurer en tant que pont filtrant mais il faut deux cartes réseaux |
| 24 |
car configuré en tant que tel, avec deux IP sur la même carte réseau, |
| 25 |
cela n'a pas vraiment de sens au niveau sécurité sachant que le LAN sera |
| 26 |
physiquement addressable depuis internet via le routeur ISP et que même |
| 27 |
si tu rediriges tout le traffic du routeur sur HOSTINTERNE il reste que |
| 28 |
ce sont les attaques de l'interieur qui ne serait pas prises en |
| 29 |
considération. |
| 30 |
|
| 31 |
Dans ton cas, l'idéal étant de rajouter une carte réseau à HOSTINTERNE |
| 32 |
et de suivre ce guide: |
| 33 |
http://www.shorewall.net/two-interface_fr.html (en français svp). |
| 34 |
|
| 35 |
Sinon, si tu tiens a n'utiliser qu'une seul interface: |
| 36 |
http://www.shorewall.net/standalone_fr.html mais je te le déconseille |
| 37 |
car il faut vraiment configurer parfaitement le routeur de ton ISP en |
| 38 |
redirigeant le traffic sur ton HOSTINTERNE par blocage du DHCP en |
| 39 |
attribuant qu'une seule IP à HOSTINTERNE au niveau du routeur par |
| 40 |
identification de l'adresse MAC. |
| 41 |
Cela étant, l'utilisation de technique de spoofing actif IP (via |
| 42 |
ARP/RARP) sur le LAN permet à n'importe quel système connecté sur le LAN |
| 43 |
de se faire passer pour ton HOSTINTERNE auprès du routeur. Cela pouvant |
| 44 |
donc être implémenté dans une attaque de l'exterieur en tant que |
| 45 |
technique d'évasion et à ce moment là le firewall devient caduque. |
| 46 |
|
| 47 |
Zentoo |
| 48 |
|
| 49 |
|
| 50 |
|
| 51 |
> |
| 52 |
> je l'ai configurer avec [HOSTINTERNET/MASQ] [IPPUBLIC/MASQ] pour la |
| 53 |
> carte reseau me creant ainsi eth0 et eth0:1 |
| 54 |
> Ma question est simple, comment configurer shorewall pour |
| 55 |
> Mon reseau local puisse sortie |
| 56 |
> Ma passerelle puisse sortie |
| 57 |
> Personne ne rentre |
| 58 |
> |
| 59 |
> je ne sais pas comment faire, j'ai mis dans interface eth0 avec mon hote |
| 60 |
> interne, dans host mon ip public, |
| 61 |
> dans policy ceci: |
| 62 |
> all net DROP info |
| 63 |
> $FW all ACCEPT - |
| 64 |
> loc all ACCEPT - |
| 65 |
> loc $FW ACCEPT - |
| 66 |
> loc loc ACCEPT - |
| 67 |
> net $FW ACCEPT - |
| 68 |
> net loc ACCEPT - |
| 69 |
> |
| 70 |
> je ne comprends pas comme ca fonctionne ! |
| 71 |
> |
| 72 |
> je saurais le faire a la main, je pense en lisant des par-feu manuelle, |
| 73 |
> sans shorewall, mais j'aimerais bien utiliser cette outils |
| 74 |
> |
| 75 |
> merci de me faire profiter de votre experience |
| 76 |
> |
| 77 |
-- |
| 78 |
-------------------------------------------------------------------------------------- |
| 79 |
Jean-François Maeyhieux |
| 80 |
-------------------------------------------------------------------------------------- |
| 81 |
PGP Public Key - Key ID = 63DB4770 Tuttle (JFM) <b4b1@××××.fr> |
| 82 |
http://pgpkeys.mit.edu:11371/pks/lookup?op=get&search=0x63DB4770 |
| 83 |
-------------------------------------------------------------------------------------- |
Archives