shorewall

Le
mess-mate
Bonjour,
j'ai installé shorewall sur mon routeur/proxy, mais j'arrive pas à
l'installer convenablement sur une machine derrière ce
routeur/shorewall/squid (etch).
C'est le comble :(
Surtout le https me pose problèmes.
mess-mate
--

Q: How many Marxists does it take to screw in a light bulb?
A: None: The light bulb contains the seeds of its own revolution.
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Oliver Elphick
Le #9790241
On Thu, 2007-06-14 at 10:00 +0200, mess-mate wrote:
Bonjour,
j'ai installé shorewall sur mon routeur/proxy, mais j'arrive pas à  
l'installer convenablement sur une machine derrière ce
routeur/shorewall/squid (etch).



Pourquoi veux-tu installer shorewall sur une autre machine ? On
l'installe seulement sur le routeur, je crois.

C'est l'organisation que j'ai fait ici, laquelle marche tout à fait
bien. Le routeur a Etch et shorewall, la carte ADSL et aussi une carte
ethernet. Toutes les autres machines sont derrière le routeur. Elles
n'ont pas shorewall du tout.

C'est le comble :(
Surtout le https me pose problèmes.



Le routeur est le coupe-feu qui reçoit tous les paquets de l'internet.
Sur le coupe-feu on peut dévier certains paquets à autres machine s. On
peut dévier les paquets https à une machine derrière la coup e-feu, par
example.

Il faut expliquer ce que tu veux faire exactement.

--
Oliver Elphick
Isle of Wight http://www.lfix.co.uk/oliver
GPG: 1024D/A54310EA 92C8 39E7 280E 3631 3F0E 1EC0 5664 7A2F A543 10EA
=================== =====================
Do you want to know God? http://www.lfix.co.uk/knowing_god.html
mess-mate
Le #9790211
Oliver Elphick | On Thu, 2007-06-14 at 10:00 +0200, mess-mate wrote:
| > Bonjour,
| > j'ai installé shorewall sur mon routeur/proxy, mais j'arrive pas à
| > l'installer convenablement sur une machine derrière ce
| > routeur/shorewall/squid (etch).
|
| Pourquoi veux-tu installer shorewall sur une autre machine ? On
| l'installe seulement sur le routeur, je crois.
|
| C'est l'organisation que j'ai fait ici, laquelle marche tout à fait
| bien. Le routeur a Etch et shorewall, la carte ADSL et aussi une carte
| ethernet. Toutes les autres machines sont derrière le routeur. Elle s
| n'ont pas shorewall du tout.
|
| > C'est le comble :(
| > Surtout le https me pose problèmes.
|
| Le routeur est le coupe-feu qui reçoit tous les paquets de l'internet .
| Sur le coupe-feu on peut dévier certains paquets à autres machines. On
| peut dévier les paquets https à une machine derrière la coupe-feu , par
| example.
|
| Il faut expliquer ce que tu veux faire exactement.
|
Tout simplement protéger également les machines derrière le routeur .
Ceci avec shorewall afin de rester partout avec la même application.

En se qui concerne le https, je puis accéder depuis les machines
derrière le routeur au routeur mais pas depuis le routeur vers les
machines. Ces machines n'ont pas de firewall pour l'instant.

mess-mate
--

If you learn one useless thing every day, in a single year you'll learn
365 useless things.
Oliver Elphick
Le #9789941
On Fri, 2007-06-15 at 10:04 +0200, mess-mate wrote:
Oliver Elphick | Le routeur est le coupe-feu qui reçoit tous les paquets de l'inter net.
| Sur le coupe-feu on peut dévier certains paquets à autres mac hines. On
| peut dévier les paquets https à une machine derrière la coupe-feu, par
| example.
|
| Il faut expliquer ce que tu veux faire exactement.
|
Tout simplement protéger également les machines derrière l e routeur.
Ceci avec shorewall afin de rester partout avec la même application.

En se qui concerne le https, je puis accéder depuis les machines
derrière le routeur au routeur mais pas depuis le routeur vers les
machines. Ces machines n'ont pas de firewall pour l'instant.



On protège les autres machines avec un coupe-feu seul -- c'est le
routeur. Les règles de Shorewall ( /etc/shorewall/rules ) contrôl ent les
paquets qui viennent du web au coupe-feu, du coupe_feu aux autres
machines, des autres machines au coupe-feu, etc. Il faut simplement
écrire les bons règles pour faire ce que tu veux, à moins qu e tu ne
veuilles pas protéger une machine contre une autre derrière le
coupe-feu.

Par example, pour contrôler les paquets ssh :

#
# Accept SSH connections between the local network and firewall
#
ACCEPT fw loc tcp 22
ACCEPT loc fw tcp 22
# and from the net to the firewall
ACCEPT net fw tcp 22

Alors, pour que l'on accède depuis le routeur vers les autres machines
avec https :

ACCEPT fw loc tcp 443
ACCEPT fw loc udp 443

--
Oliver Elphick
Isle of Wight http://www.lfix.co.uk/oliver
GPG: 1024D/A54310EA 92C8 39E7 280E 3631 3F0E 1EC0 5664 7A2F A543 10EA
=================== =====================
Do you want to know God? http://www.lfix.co.uk/knowing_god.html
mess-mate
Le #9789921
Oliver Elphick | On Fri, 2007-06-15 at 10:04 +0200, mess-mate wrote:
| > Oliver Elphick | > | Le routeur est le coupe-feu qui reçoit tous les paquets de l'inte rnet.
| > | Sur le coupe-feu on peut dévier certains paquets à autres machi nes. On
| > | peut dévier les paquets https à une machine derrière la coupe -feu, par
| > | example.
| > |
| > | Il faut expliquer ce que tu veux faire exactement.
| > |
| > Tout simplement protéger également les machines derrière le rou teur.
| > Ceci avec shorewall afin de rester partout avec la même application .
| >
| > En se qui concerne le https, je puis accéder depuis les machines
| > derrière le routeur au routeur mais pas depuis le routeur vers les
| > machines. Ces machines n'ont pas de firewall pour l'instant.
|
| On protège les autres machines avec un coupe-feu seul -- c'est le
| routeur. Les règles de Shorewall ( /etc/shorewall/rules ) contrôlen t les
| paquets qui viennent du web au coupe-feu, du coupe_feu aux autres
| machines, des autres machines au coupe-feu, etc. Il faut simplement
| écrire les bons règles pour faire ce que tu veux, à moins que tu ne
| veuilles pas protéger une machine contre une autre derrière le
| coupe-feu.
|
| Par example, pour contrôler les paquets ssh :
|
| #
| # Accept SSH connections between the local network and firewall
| #
| ACCEPT fw loc tcp 22
| ACCEPT loc fw tcp 22
| # and from the net to the firewall
| ACCEPT net fw tcp 22
|
| Alors, pour que l'on accède depuis le routeur vers les autres machine s
| avec https :
|
| ACCEPT fw loc tcp 443
| ACCEPT fw loc udp 443
|
| --
Merci, c'est fait.
Le 'ACCEPT net fw' est de trop car l'accès au
net se fait à travers une machine qui fait routeur/firewall/proxy.
J'ai donc que loc et fw.
En ce qui concerne le https ( au fait pour accéder à webmin) j'ai
également due faire :
ACCEPT loc $FW tcp 10000

cordialement
mess-mate
--

Delay not, Caesar. Read it instantly.
-- Shakespeare, "Julius Caesar" 3,1

Here is a letter, read it at your leisure.
-- Shakespeare, "Merchant of Venice" 5,1

[Quoted in "VMS Internals and Data Structures", V4.4, when
referring to I/O system services.]
Publicité
Poster une réponse
Anonyme