J'ai en tete de reseau un routeur qui me route mon ip public vers un
poste interne
[ROUTEUR]
[IPPUBLIC] =3D> [HOSTINTERNE]
Mes postes ont le dns et la passerelle regler sur [HOSTINTERNE]
[HOSTINTERNER] a une seul carte reseau du fait qu'il prend les ip public
directement
je l'ai configurer avec [HOSTINTERNET/MASQ] [IPPUBLIC/MASQ] pour la
carte reseau me creant ainsi eth0 et eth0:1
Ma question est simple, comment configurer shorewall pour
Mon reseau local puisse sortie
Ma passerelle puisse sortie
Personne ne rentre
je ne sais pas comment faire, j'ai mis dans interface eth0 avec mon hote
interne, dans host mon ip public,
dans policy ceci:
all net DROP info
$FW all ACCEPT -
loc all ACCEPT -
loc $FW ACCEPT -
loc loc ACCEPT -
net $FW ACCEPT -
net loc ACCEPT -
je ne comprends pas comme ca fonctionne !
je saurais le faire a la main, je pense en lisant des par-feu manuelle,
sans shorewall, mais j'aimerais bien utiliser cette outils
merci de me faire profiter de votre experience
--=20
Geistteufel
Signature PGP :
ID : 0x517215AF
FingerPrint : AFAB B3CE 0ACF 2551 478B 0B73 D84B 8C6D 5172 15AF
Public Key Server : hkp://subkeys.pgp.net
On Tue, 2006-10-17 at 10:50 +0200, Geistteufel wrote:
Bonjour, j'ai un soucis pour configurer shorewall
J'ai en tete de reseau un routeur qui me route mon ip public vers un poste interne [ROUTEUR] [IPPUBLIC] => [HOSTINTERNE]
Mes postes ont le dns et la passerelle regler sur [HOSTINTERNE] [HOSTINTERNER] a une seul carte reseau du fait qu'il prend les ip public directement
Donc si j'ai bien compris tu as un routeur pour ton provider qui dessert ton adresse IP publique et une box qui fait office de routeur pour ton lan ainsi que serveur DNS. Ce qui donne ce shema:
Ce qui fait que HOSTINTERNE est sensé être ton firewall sous shorewall. Premier problème: une seule carte réseau. L'idéal aurait été de l e configurer en tant que pont filtrant mais il faut deux cartes réseaux car configuré en tant que tel, avec deux IP sur la même carte réseau, cela n'a pas vraiment de sens au niveau sécurité sachant que le LAN ser a physiquement addressable depuis internet via le routeur ISP et que même si tu rediriges tout le traffic du routeur sur HOSTINTERNE il reste que ce sont les attaques de l'interieur qui ne serait pas prises en considération.
Dans ton cas, l'idéal étant de rajouter une carte réseau à HOSTINTE RNE et de suivre ce guide: http://www.shorewall.net/two-interface_fr.html (en français svp).
Sinon, si tu tiens a n'utiliser qu'une seul interface: http://www.shorewall.net/standalone_fr.html mais je te le déconseille car il faut vraiment configurer parfaitement le routeur de ton ISP en redirigeant le traffic sur ton HOSTINTERNE par blocage du DHCP en attribuant qu'une seule IP à HOSTINTERNE au niveau du routeur par identification de l'adresse MAC. Cela étant, l'utilisation de technique de spoofing actif IP (via ARP/RARP) sur le LAN permet à n'importe quel système connecté sur le LAN de se faire passer pour ton HOSTINTERNE auprès du routeur. Cela pouvant donc être implémenté dans une attaque de l'exterieur en tant que technique d'évasion et à ce moment là le firewall devient caduque.
Zentoo
je l'ai configurer avec [HOSTINTERNET/MASQ] [IPPUBLIC/MASQ] pour la carte reseau me creant ainsi eth0 et eth0:1 Ma question est simple, comment configurer shorewall pour Mon reseau local puisse sortie Ma passerelle puisse sortie Personne ne rentre
je ne sais pas comment faire, j'ai mis dans interface eth0 avec mon hote interne, dans host mon ip public, dans policy ceci: all net DROP info $FW all ACCEPT - loc all ACCEPT - loc $FW ACCEPT - loc loc ACCEPT - net $FW ACCEPT - net loc ACCEPT -
je ne comprends pas comme ca fonctionne !
je saurais le faire a la main, je pense en lisant des par-feu manuelle, sans shorewall, mais j'aimerais bien utiliser cette outils
merci de me faire profiter de votre experience
-- --------------------------------------------------------------------------- ----------- Jean-François Maeyhieux --------------------------------------------------------------------------- ----------- PGP Public Key - Key ID = 63DB4770 Tuttle (JFM) http://pgpkeys.mit.edu:11371/pks/lookup?op=get&search=0x63DB4770 --------------------------------------------------------------------------- -----------
--=-Q2D7lmH/ohs/gFu4agL0 Content-Type: application/pgp-signature; name=signature.asc Content-Description: This is a digitally signed message part
On Tue, 2006-10-17 at 10:50 +0200, Geistteufel wrote:
Bonjour, j'ai un soucis pour configurer shorewall
J'ai en tete de reseau un routeur qui me route mon ip public vers un
poste interne
[ROUTEUR]
[IPPUBLIC] => [HOSTINTERNE]
Mes postes ont le dns et la passerelle regler sur [HOSTINTERNE]
[HOSTINTERNER] a une seul carte reseau du fait qu'il prend les ip public
directement
Donc si j'ai bien compris tu as un routeur pour ton provider qui dessert
ton adresse IP publique et une box qui fait office de routeur pour ton
lan ainsi que serveur DNS. Ce qui donne ce shema:
Ce qui fait que HOSTINTERNE est sensé être ton firewall sous shorewall.
Premier problème: une seule carte réseau. L'idéal aurait été de l e
configurer en tant que pont filtrant mais il faut deux cartes réseaux
car configuré en tant que tel, avec deux IP sur la même carte réseau,
cela n'a pas vraiment de sens au niveau sécurité sachant que le LAN ser a
physiquement addressable depuis internet via le routeur ISP et que même
si tu rediriges tout le traffic du routeur sur HOSTINTERNE il reste que
ce sont les attaques de l'interieur qui ne serait pas prises en
considération.
Dans ton cas, l'idéal étant de rajouter une carte réseau à HOSTINTE RNE
et de suivre ce guide:
http://www.shorewall.net/two-interface_fr.html (en français svp).
Sinon, si tu tiens a n'utiliser qu'une seul interface:
http://www.shorewall.net/standalone_fr.html mais je te le déconseille
car il faut vraiment configurer parfaitement le routeur de ton ISP en
redirigeant le traffic sur ton HOSTINTERNE par blocage du DHCP en
attribuant qu'une seule IP à HOSTINTERNE au niveau du routeur par
identification de l'adresse MAC.
Cela étant, l'utilisation de technique de spoofing actif IP (via
ARP/RARP) sur le LAN permet à n'importe quel système connecté sur le LAN
de se faire passer pour ton HOSTINTERNE auprès du routeur. Cela pouvant
donc être implémenté dans une attaque de l'exterieur en tant que
technique d'évasion et à ce moment là le firewall devient caduque.
Zentoo
je l'ai configurer avec [HOSTINTERNET/MASQ] [IPPUBLIC/MASQ] pour la
carte reseau me creant ainsi eth0 et eth0:1
Ma question est simple, comment configurer shorewall pour
Mon reseau local puisse sortie
Ma passerelle puisse sortie
Personne ne rentre
je ne sais pas comment faire, j'ai mis dans interface eth0 avec mon hote
interne, dans host mon ip public,
dans policy ceci:
all net DROP info
$FW all ACCEPT -
loc all ACCEPT -
loc $FW ACCEPT -
loc loc ACCEPT -
net $FW ACCEPT -
net loc ACCEPT -
je ne comprends pas comme ca fonctionne !
je saurais le faire a la main, je pense en lisant des par-feu manuelle,
sans shorewall, mais j'aimerais bien utiliser cette outils
On Tue, 2006-10-17 at 10:50 +0200, Geistteufel wrote:
Bonjour, j'ai un soucis pour configurer shorewall
J'ai en tete de reseau un routeur qui me route mon ip public vers un poste interne [ROUTEUR] [IPPUBLIC] => [HOSTINTERNE]
Mes postes ont le dns et la passerelle regler sur [HOSTINTERNE] [HOSTINTERNER] a une seul carte reseau du fait qu'il prend les ip public directement
Donc si j'ai bien compris tu as un routeur pour ton provider qui dessert ton adresse IP publique et une box qui fait office de routeur pour ton lan ainsi que serveur DNS. Ce qui donne ce shema:
Ce qui fait que HOSTINTERNE est sensé être ton firewall sous shorewall. Premier problème: une seule carte réseau. L'idéal aurait été de l e configurer en tant que pont filtrant mais il faut deux cartes réseaux car configuré en tant que tel, avec deux IP sur la même carte réseau, cela n'a pas vraiment de sens au niveau sécurité sachant que le LAN ser a physiquement addressable depuis internet via le routeur ISP et que même si tu rediriges tout le traffic du routeur sur HOSTINTERNE il reste que ce sont les attaques de l'interieur qui ne serait pas prises en considération.
Dans ton cas, l'idéal étant de rajouter une carte réseau à HOSTINTE RNE et de suivre ce guide: http://www.shorewall.net/two-interface_fr.html (en français svp).
Sinon, si tu tiens a n'utiliser qu'une seul interface: http://www.shorewall.net/standalone_fr.html mais je te le déconseille car il faut vraiment configurer parfaitement le routeur de ton ISP en redirigeant le traffic sur ton HOSTINTERNE par blocage du DHCP en attribuant qu'une seule IP à HOSTINTERNE au niveau du routeur par identification de l'adresse MAC. Cela étant, l'utilisation de technique de spoofing actif IP (via ARP/RARP) sur le LAN permet à n'importe quel système connecté sur le LAN de se faire passer pour ton HOSTINTERNE auprès du routeur. Cela pouvant donc être implémenté dans une attaque de l'exterieur en tant que technique d'évasion et à ce moment là le firewall devient caduque.
Zentoo
je l'ai configurer avec [HOSTINTERNET/MASQ] [IPPUBLIC/MASQ] pour la carte reseau me creant ainsi eth0 et eth0:1 Ma question est simple, comment configurer shorewall pour Mon reseau local puisse sortie Ma passerelle puisse sortie Personne ne rentre
je ne sais pas comment faire, j'ai mis dans interface eth0 avec mon hote interne, dans host mon ip public, dans policy ceci: all net DROP info $FW all ACCEPT - loc all ACCEPT - loc $FW ACCEPT - loc loc ACCEPT - net $FW ACCEPT - net loc ACCEPT -
je ne comprends pas comme ca fonctionne !
je saurais le faire a la main, je pense en lisant des par-feu manuelle, sans shorewall, mais j'aimerais bien utiliser cette outils
merci de me faire profiter de votre experience
-- --------------------------------------------------------------------------- ----------- Jean-François Maeyhieux --------------------------------------------------------------------------- ----------- PGP Public Key - Key ID = 63DB4770 Tuttle (JFM) http://pgpkeys.mit.edu:11371/pks/lookup?op=get&search=0x63DB4770 --------------------------------------------------------------------------- -----------
--=-Q2D7lmH/ohs/gFu4agL0 Content-Type: application/pgp-signature; name=signature.asc Content-Description: This is a digitally signed message part