1 |
On Tue, 2006-10-17 at 10:50 +0200, Geistteufel wrote: |
2 |
> Bonjour, j'ai un soucis pour configurer shorewall |
3 |
> |
4 |
> J'ai en tete de reseau un routeur qui me route mon ip public vers un |
5 |
> poste interne |
6 |
> [ROUTEUR] |
7 |
> [IPPUBLIC] => [HOSTINTERNE] |
8 |
> |
9 |
> Mes postes ont le dns et la passerelle regler sur [HOSTINTERNE] |
10 |
> [HOSTINTERNER] a une seul carte reseau du fait qu'il prend les ip public |
11 |
> directement |
12 |
|
13 |
Donc si j'ai bien compris tu as un routeur pour ton provider qui dessert |
14 |
ton adresse IP publique et une box qui fait office de routeur pour ton |
15 |
lan ainsi que serveur DNS. Ce qui donne ce shema: |
16 |
|
17 |
INET~~~~~~ |ROUTEUR ISP|~~~~~~~~~~~|HOSTINTERNE|~~~~~~~~~~~~~LAN |
18 |
(IP publique) (192.168.x0.y0) (192.168.x0.y1) |
19 |
(192.168.x2.y2) (192.168.x2/24) |
20 |
|
21 |
Ce qui fait que HOSTINTERNE est sensé être ton firewall sous shorewall. |
22 |
Premier problème: une seule carte réseau. L'idéal aurait été de le |
23 |
configurer en tant que pont filtrant mais il faut deux cartes réseaux |
24 |
car configuré en tant que tel, avec deux IP sur la même carte réseau, |
25 |
cela n'a pas vraiment de sens au niveau sécurité sachant que le LAN sera |
26 |
physiquement addressable depuis internet via le routeur ISP et que même |
27 |
si tu rediriges tout le traffic du routeur sur HOSTINTERNE il reste que |
28 |
ce sont les attaques de l'interieur qui ne serait pas prises en |
29 |
considération. |
30 |
|
31 |
Dans ton cas, l'idéal étant de rajouter une carte réseau à HOSTINTERNE |
32 |
et de suivre ce guide: |
33 |
http://www.shorewall.net/two-interface_fr.html (en français svp). |
34 |
|
35 |
Sinon, si tu tiens a n'utiliser qu'une seul interface: |
36 |
http://www.shorewall.net/standalone_fr.html mais je te le déconseille |
37 |
car il faut vraiment configurer parfaitement le routeur de ton ISP en |
38 |
redirigeant le traffic sur ton HOSTINTERNE par blocage du DHCP en |
39 |
attribuant qu'une seule IP à HOSTINTERNE au niveau du routeur par |
40 |
identification de l'adresse MAC. |
41 |
Cela étant, l'utilisation de technique de spoofing actif IP (via |
42 |
ARP/RARP) sur le LAN permet à n'importe quel système connecté sur le LAN |
43 |
de se faire passer pour ton HOSTINTERNE auprès du routeur. Cela pouvant |
44 |
donc être implémenté dans une attaque de l'exterieur en tant que |
45 |
technique d'évasion et à ce moment là le firewall devient caduque. |
46 |
|
47 |
Zentoo |
48 |
|
49 |
|
50 |
|
51 |
> |
52 |
> je l'ai configurer avec [HOSTINTERNET/MASQ] [IPPUBLIC/MASQ] pour la |
53 |
> carte reseau me creant ainsi eth0 et eth0:1 |
54 |
> Ma question est simple, comment configurer shorewall pour |
55 |
> Mon reseau local puisse sortie |
56 |
> Ma passerelle puisse sortie |
57 |
> Personne ne rentre |
58 |
> |
59 |
> je ne sais pas comment faire, j'ai mis dans interface eth0 avec mon hote |
60 |
> interne, dans host mon ip public, |
61 |
> dans policy ceci: |
62 |
> all net DROP info |
63 |
> $FW all ACCEPT - |
64 |
> loc all ACCEPT - |
65 |
> loc $FW ACCEPT - |
66 |
> loc loc ACCEPT - |
67 |
> net $FW ACCEPT - |
68 |
> net loc ACCEPT - |
69 |
> |
70 |
> je ne comprends pas comme ca fonctionne ! |
71 |
> |
72 |
> je saurais le faire a la main, je pense en lisant des par-feu manuelle, |
73 |
> sans shorewall, mais j'aimerais bien utiliser cette outils |
74 |
> |
75 |
> merci de me faire profiter de votre experience |
76 |
> |
77 |
-- |
78 |
-------------------------------------------------------------------------------------- |
79 |
Jean-François Maeyhieux |
80 |
-------------------------------------------------------------------------------------- |
81 |
PGP Public Key - Key ID = 63DB4770 Tuttle (JFM) <b4b1@××××.fr> |
82 |
http://pgpkeys.mit.edu:11371/pks/lookup?op=get&search=0x63DB4770 |
83 |
-------------------------------------------------------------------------------------- |