Mon modem peut être équipé d'un firewall mais je voudrais mettre
shorewall 2.0 en plus sur chaque poste du réseau local.
Le problème qui se pose est que je voudrais que shorewall interdise
les connexions venant d'internet mais autorise les connexions entre
postes du réseau local sachant qu'il n'y a qu'une seule carte réseau
sur chaque poste. Le fait qu'il n'y ait qu'une seule carte me pose
problème pour distinguer la zone internet et la zone locale dans
shorewall.
Mon modem peut être équipé d'un firewall mais je voudrais mettre shorewall 2.0 en plus sur chaque poste du réseau local.
Le problème qui se pose est que je voudrais que shorewall interdise les connexions venant d'internet mais autorise les connexions entre postes du réseau local sachant qu'il n'y a qu'une seule carte réseau sur chaque poste. Le fait qu'il n'y ait qu'une seule carte me pose problème pour distinguer la zone internet et la zone locale dans shorewall.
Dans /etc/shorewall/rules ajoute :
ACCEPT net:10.0.0/255.255.255.0 fw
et tu acceptera ainsi toutes les IP sur 10.0.0.X qui ne sont pas routées sur internet. Pour un réseau local perso (tu dépassera pas 65235 machines ;-) prends plutôt :
ACCEPT net:192.168.0.0/255.255.255.0 fw
et tes postes place les dans la plage 192.168.X.X qui n'est pas routée sur internet
Donc ta zone serait la classe IP des machines. Si tu veux augmenter la sécurité tu peux metre dans la machine 1 :
ACCEPT net:192.168.0.0.2 fw
Si 192.168.0.0.2 est la machine 2. Mais tu devra éditer ce fichier et rajouter une ligne pour chaque machine ajoutée. Cepandant seules les IPs de ton réseau seront les seules acceptées.
-- Web Dreamer, Linux Registered User #313652 at http://counter.li.org/ Remplacer *nospam* par *tiscali* dans l'adresse, et ajouter *NewsGroupPrivateAnswer* dans le corps du message pour répondre.
Il ne faut pas frapper un homme a terre. Il faut lui donner des coups de pieds; ca evite de se baisser.
MxPh (PhPointMonroux@wanadoo.fr) à écrit le Jeudi 6 Mai 2004 07:39 dans
<slrnc9jjrq.sr5.PhPointMonroux@serveur.mondomaine> sur
fr.comp.os.linux.configuration:
Bonjour,
Je veux construire un petit réseau perso avec un accès à internet pour
chaque poste (par ex 2) comme suit :
Mon modem peut être équipé d'un firewall mais je voudrais mettre
shorewall 2.0 en plus sur chaque poste du réseau local.
Le problème qui se pose est que je voudrais que shorewall interdise
les connexions venant d'internet mais autorise les connexions entre
postes du réseau local sachant qu'il n'y a qu'une seule carte réseau
sur chaque poste. Le fait qu'il n'y ait qu'une seule carte me pose
problème pour distinguer la zone internet et la zone locale dans
shorewall.
Dans /etc/shorewall/rules ajoute :
ACCEPT net:10.0.0/255.255.255.0 fw
et tu acceptera ainsi toutes les IP sur 10.0.0.X qui ne sont pas routées sur
internet.
Pour un réseau local perso (tu dépassera pas 65235 machines ;-) prends
plutôt :
ACCEPT net:192.168.0.0/255.255.255.0 fw
et tes postes place les dans la plage 192.168.X.X qui n'est pas routée sur
internet
Donc ta zone serait la classe IP des machines.
Si tu veux augmenter la sécurité tu peux metre dans la machine 1 :
ACCEPT net:192.168.0.0.2 fw
Si 192.168.0.0.2 est la machine 2.
Mais tu devra éditer ce fichier et rajouter une ligne pour chaque machine
ajoutée. Cepandant seules les IPs de ton réseau seront les seules
acceptées.
--
Web Dreamer, Linux Registered User #313652 at http://counter.li.org/
Remplacer *nospam* par *tiscali* dans l'adresse,
et ajouter *NewsGroupPrivateAnswer* dans le corps du message pour répondre.
Il ne faut pas frapper un homme a terre.
Il faut lui donner des coups de pieds; ca evite de se baisser.
Mon modem peut être équipé d'un firewall mais je voudrais mettre shorewall 2.0 en plus sur chaque poste du réseau local.
Le problème qui se pose est que je voudrais que shorewall interdise les connexions venant d'internet mais autorise les connexions entre postes du réseau local sachant qu'il n'y a qu'une seule carte réseau sur chaque poste. Le fait qu'il n'y ait qu'une seule carte me pose problème pour distinguer la zone internet et la zone locale dans shorewall.
Dans /etc/shorewall/rules ajoute :
ACCEPT net:10.0.0/255.255.255.0 fw
et tu acceptera ainsi toutes les IP sur 10.0.0.X qui ne sont pas routées sur internet. Pour un réseau local perso (tu dépassera pas 65235 machines ;-) prends plutôt :
ACCEPT net:192.168.0.0/255.255.255.0 fw
et tes postes place les dans la plage 192.168.X.X qui n'est pas routée sur internet
Donc ta zone serait la classe IP des machines. Si tu veux augmenter la sécurité tu peux metre dans la machine 1 :
ACCEPT net:192.168.0.0.2 fw
Si 192.168.0.0.2 est la machine 2. Mais tu devra éditer ce fichier et rajouter une ligne pour chaque machine ajoutée. Cepandant seules les IPs de ton réseau seront les seules acceptées.
-- Web Dreamer, Linux Registered User #313652 at http://counter.li.org/ Remplacer *nospam* par *tiscali* dans l'adresse, et ajouter *NewsGroupPrivateAnswer* dans le corps du message pour répondre.
Il ne faut pas frapper un homme a terre. Il faut lui donner des coups de pieds; ca evite de se baisser.
Lionel
MxPh wrote:
Bonjour,
Je veux construire un petit réseau perso avec un accès à internet pour chaque poste (par ex 2) comme suit :
Mon modem peut être équipé d'un firewall mais je voudrais mettre shorewall 2.0 en plus sur chaque poste du réseau local.
Le problème qui se pose est que je voudrais que shorewall interdise les connexions venant d'internet mais autorise les connexions entre postes du réseau local sachant qu'il n'y a qu'une seule carte réseau sur chaque poste. Le fait qu'il n'y ait qu'une seule carte me pose problème pour distinguer la zone internet et la zone locale dans shorewall.
merci pour toute suggestion.
Quelle zone correspond à l'interface eth0 ? A mon avis tu dois filtrer ce qui provient de la zone correspondant à eth0 à destination de la zone fw. Essaye d'utiliser webmin, ca facilite pas mal les choses.
A+ Lionel
MxPh wrote:
Bonjour,
Je veux construire un petit réseau perso avec un accès à internet pour
chaque poste (par ex 2) comme suit :
Mon modem peut être équipé d'un firewall mais je voudrais mettre
shorewall 2.0 en plus sur chaque poste du réseau local.
Le problème qui se pose est que je voudrais que shorewall interdise
les connexions venant d'internet mais autorise les connexions entre
postes du réseau local sachant qu'il n'y a qu'une seule carte réseau
sur chaque poste. Le fait qu'il n'y ait qu'une seule carte me pose
problème pour distinguer la zone internet et la zone locale dans
shorewall.
merci pour toute suggestion.
Quelle zone correspond à l'interface eth0 ?
A mon avis tu dois filtrer ce qui provient de la zone correspondant à eth0 à
destination de la zone fw.
Essaye d'utiliser webmin, ca facilite pas mal les choses.
Mon modem peut être équipé d'un firewall mais je voudrais mettre shorewall 2.0 en plus sur chaque poste du réseau local.
Le problème qui se pose est que je voudrais que shorewall interdise les connexions venant d'internet mais autorise les connexions entre postes du réseau local sachant qu'il n'y a qu'une seule carte réseau sur chaque poste. Le fait qu'il n'y ait qu'une seule carte me pose problème pour distinguer la zone internet et la zone locale dans shorewall.
merci pour toute suggestion.
Quelle zone correspond à l'interface eth0 ? A mon avis tu dois filtrer ce qui provient de la zone correspondant à eth0 à destination de la zone fw. Essaye d'utiliser webmin, ca facilite pas mal les choses.
A+ Lionel
Web Dreamer
Web Dreamer () à écrit le Jeudi 6 Mai 2004 08:05 dans <4099d5a6$0$8644$ sur fr.comp.os.linux.configuration:
MxPh () à écrit le Jeudi 6 Mai 2004 07:39 dans sur fr.comp.os.linux.configuration:
Bonjour,
Je veux construire un petit réseau perso avec un accès à internet pour chaque poste (par ex 2) comme suit :
Mon modem peut être équipé d'un firewall mais je voudrais mettre shorewall 2.0 en plus sur chaque poste du réseau local.
Le problème qui se pose est que je voudrais que shorewall interdise les connexions venant d'internet mais autorise les connexions entre postes du réseau local sachant qu'il n'y a qu'une seule carte réseau sur chaque poste. Le fait qu'il n'y ait qu'une seule carte me pose problème pour distinguer la zone internet et la zone locale dans shorewall.
Dans /etc/shorewall/rules ajoute :
ACCEPT net:10.0.0/255.255.255.0 fw
et tu acceptera ainsi toutes les IP sur 10.0.0.X qui ne sont pas routées sur internet. Pour un réseau local perso (tu dépassera pas 65235 machines ;-) prends plutôt :
ACCEPT net:192.168.0.0/255.255.255.0 fw
et tes postes place les dans la plage 192.168.X.X qui n'est pas routée sur internet
Donc ta zone serait la classe IP des machines. Si tu veux augmenter la sécurité tu peux metre dans la machine 1 :
ACCEPT net:192.168.0.0.2 fw
Si 192.168.0.0.2 est la machine 2. Mais tu devra éditer ce fichier et rajouter une ligne pour chaque machine ajoutée. Cepandant seules les IPs de ton réseau seront les seules acceptées.
PS. :
N'oublie pas de vérifier que ton modem-routeur-firewall filtre bien et bloque tout ce qui vient d'internet se trouvant sur ta plage d'adresses IP interne. Ainsi, 10.X.X.X ou 192.0.X.X ne poura provenir qu'en interne. Il n'y a aucuns serveurs sur ces plages sur internet, car ce sont des plages d'adresses privées, utilisées pour des réseaux internes privés, et donc non routés. Ton modem-routeur-firewall fait du Nat en laissant sortir ce qui est dans ton réseau, mais pas rentrer ce qui provient d'une adresse sensée être interne. Ainsi, tu peut accepter avec shorewall ces plages, car le premier firewall les bloque.
Perso, je n'autorise pas une plage complette avec shorewall, mais que les IP de mes ordis sur réseau interne. Tu peux aussi n'ouvrir que certains ports sur les adresses IP autorisées.
Bonne chance.
-- Web Dreamer, Linux Registered User #313652 at http://counter.li.org/ Remplacer *nospam* par *tiscali* dans l'adresse, et ajouter *NewsGroupPrivateAnswer* dans le corps du message pour répondre.
Nagasaki ne profite jamais
Web Dreamer (webdreamer@nospam.fr) à écrit le Jeudi 6 Mai 2004 08:05 dans
<4099d5a6$0$8644$626a14ce@news.free.fr> sur fr.comp.os.linux.configuration:
MxPh (PhPointMonroux@wanadoo.fr) à écrit le Jeudi 6 Mai 2004 07:39 dans
<slrnc9jjrq.sr5.PhPointMonroux@serveur.mondomaine> sur
fr.comp.os.linux.configuration:
Bonjour,
Je veux construire un petit réseau perso avec un accès à internet pour
chaque poste (par ex 2) comme suit :
Mon modem peut être équipé d'un firewall mais je voudrais mettre
shorewall 2.0 en plus sur chaque poste du réseau local.
Le problème qui se pose est que je voudrais que shorewall interdise
les connexions venant d'internet mais autorise les connexions entre
postes du réseau local sachant qu'il n'y a qu'une seule carte réseau
sur chaque poste. Le fait qu'il n'y ait qu'une seule carte me pose
problème pour distinguer la zone internet et la zone locale dans
shorewall.
Dans /etc/shorewall/rules ajoute :
ACCEPT net:10.0.0/255.255.255.0 fw
et tu acceptera ainsi toutes les IP sur 10.0.0.X qui ne sont pas routées
sur internet.
Pour un réseau local perso (tu dépassera pas 65235 machines ;-) prends
plutôt :
ACCEPT net:192.168.0.0/255.255.255.0 fw
et tes postes place les dans la plage 192.168.X.X qui n'est pas routée sur
internet
Donc ta zone serait la classe IP des machines.
Si tu veux augmenter la sécurité tu peux metre dans la machine 1 :
ACCEPT net:192.168.0.0.2 fw
Si 192.168.0.0.2 est la machine 2.
Mais tu devra éditer ce fichier et rajouter une ligne pour chaque machine
ajoutée. Cepandant seules les IPs de ton réseau seront les seules
acceptées.
PS. :
N'oublie pas de vérifier que ton modem-routeur-firewall filtre bien et
bloque tout ce qui vient d'internet se trouvant sur ta plage d'adresses IP
interne. Ainsi, 10.X.X.X ou 192.0.X.X ne poura provenir qu'en interne.
Il n'y a aucuns serveurs sur ces plages sur internet, car ce sont des plages
d'adresses privées, utilisées pour des réseaux internes privés, et donc non
routés. Ton modem-routeur-firewall fait du Nat en laissant sortir ce qui
est dans ton réseau, mais pas rentrer ce qui provient d'une adresse sensée
être interne. Ainsi, tu peut accepter avec shorewall ces plages, car le
premier firewall les bloque.
Perso, je n'autorise pas une plage complette avec shorewall, mais que les IP
de mes ordis sur réseau interne.
Tu peux aussi n'ouvrir que certains ports sur les adresses IP autorisées.
Bonne chance.
--
Web Dreamer, Linux Registered User #313652 at http://counter.li.org/
Remplacer *nospam* par *tiscali* dans l'adresse,
et ajouter *NewsGroupPrivateAnswer* dans le corps du message pour répondre.
Mon modem peut être équipé d'un firewall mais je voudrais mettre shorewall 2.0 en plus sur chaque poste du réseau local.
Le problème qui se pose est que je voudrais que shorewall interdise les connexions venant d'internet mais autorise les connexions entre postes du réseau local sachant qu'il n'y a qu'une seule carte réseau sur chaque poste. Le fait qu'il n'y ait qu'une seule carte me pose problème pour distinguer la zone internet et la zone locale dans shorewall.
Dans /etc/shorewall/rules ajoute :
ACCEPT net:10.0.0/255.255.255.0 fw
et tu acceptera ainsi toutes les IP sur 10.0.0.X qui ne sont pas routées sur internet. Pour un réseau local perso (tu dépassera pas 65235 machines ;-) prends plutôt :
ACCEPT net:192.168.0.0/255.255.255.0 fw
et tes postes place les dans la plage 192.168.X.X qui n'est pas routée sur internet
Donc ta zone serait la classe IP des machines. Si tu veux augmenter la sécurité tu peux metre dans la machine 1 :
ACCEPT net:192.168.0.0.2 fw
Si 192.168.0.0.2 est la machine 2. Mais tu devra éditer ce fichier et rajouter une ligne pour chaque machine ajoutée. Cepandant seules les IPs de ton réseau seront les seules acceptées.
PS. :
N'oublie pas de vérifier que ton modem-routeur-firewall filtre bien et bloque tout ce qui vient d'internet se trouvant sur ta plage d'adresses IP interne. Ainsi, 10.X.X.X ou 192.0.X.X ne poura provenir qu'en interne. Il n'y a aucuns serveurs sur ces plages sur internet, car ce sont des plages d'adresses privées, utilisées pour des réseaux internes privés, et donc non routés. Ton modem-routeur-firewall fait du Nat en laissant sortir ce qui est dans ton réseau, mais pas rentrer ce qui provient d'une adresse sensée être interne. Ainsi, tu peut accepter avec shorewall ces plages, car le premier firewall les bloque.
Perso, je n'autorise pas une plage complette avec shorewall, mais que les IP de mes ordis sur réseau interne. Tu peux aussi n'ouvrir que certains ports sur les adresses IP autorisées.
Bonne chance.
-- Web Dreamer, Linux Registered User #313652 at http://counter.li.org/ Remplacer *nospam* par *tiscali* dans l'adresse, et ajouter *NewsGroupPrivateAnswer* dans le corps du message pour répondre.
Nagasaki ne profite jamais
MxPh
Le Thu, 06 May 2004 08:05:06 +0200, Dans le forum fr.comp.os.linux.configuration,
Dans /etc/shorewall/rules ajoute :
ACCEPT net:10.0.0/255.255.255.0 fw
et tu acceptera ainsi toutes les IP sur 10.0.0.X qui ne sont pas routées sur internet.
Ok. Mais sachant que 10.0.0.138 est ma default route (c-a-d l'adresse de l'interface de modem) il n'y a pas de risque que mon poste accepte des requêtes venant d'internet ?
Donc ta zone serait la classe IP des machines. Si tu veux augmenter la sécurité tu peux metre dans la machine 1 :
ACCEPT net:192.168.0.0.2 fw
Si 192.168.0.0.2 est la machine 2. Mais tu devra éditer ce fichier et rajouter une ligne pour chaque machine ajoutée. Cepandant seules les IPs de ton réseau seront les seules acceptées.
oui cela me parait plus sûr ainsi
merci
-- Ph
Le Thu, 06 May 2004 08:05:06 +0200,
Dans le forum fr.comp.os.linux.configuration,
Dans /etc/shorewall/rules ajoute :
ACCEPT net:10.0.0/255.255.255.0 fw
et tu acceptera ainsi toutes les IP sur 10.0.0.X qui ne sont pas
routées sur internet.
Ok. Mais sachant que 10.0.0.138 est ma default route (c-a-d l'adresse
de l'interface de modem) il n'y a pas de risque que mon poste accepte
des requêtes venant d'internet ?
Donc ta zone serait la classe IP des machines.
Si tu veux augmenter la sécurité tu peux metre dans la machine 1 :
ACCEPT net:192.168.0.0.2 fw
Si 192.168.0.0.2 est la machine 2.
Mais tu devra éditer ce fichier et rajouter une ligne pour chaque machine
ajoutée. Cepandant seules les IPs de ton réseau seront les seules
acceptées.
Le Thu, 06 May 2004 08:05:06 +0200, Dans le forum fr.comp.os.linux.configuration,
Dans /etc/shorewall/rules ajoute :
ACCEPT net:10.0.0/255.255.255.0 fw
et tu acceptera ainsi toutes les IP sur 10.0.0.X qui ne sont pas routées sur internet.
Ok. Mais sachant que 10.0.0.138 est ma default route (c-a-d l'adresse de l'interface de modem) il n'y a pas de risque que mon poste accepte des requêtes venant d'internet ?
Donc ta zone serait la classe IP des machines. Si tu veux augmenter la sécurité tu peux metre dans la machine 1 :
ACCEPT net:192.168.0.0.2 fw
Si 192.168.0.0.2 est la machine 2. Mais tu devra éditer ce fichier et rajouter une ligne pour chaque machine ajoutée. Cepandant seules les IPs de ton réseau seront les seules acceptées.
oui cela me parait plus sûr ainsi
merci
-- Ph
MxPh
Le Thu, 06 May 2004 09:02:13 +0200, Dans le forum fr.comp.os.linux.configuration,
N'oublie pas de vérifier que ton modem-routeur-firewall filtre bien et bloque tout ce qui vient d'internet se trouvant sur ta plage d'adresses IP interne. Ainsi, 10.X.X.X ou 192.0.X.X ne poura provenir qu'en interne. Il n'y a aucuns serveurs sur ces plages sur internet, car ce sont des plages d'adresses privées, utilisées pour des réseaux internes privés, et donc non routés. Ton modem-routeur-firewall fait du Nat en laissant sortir ce qui est dans ton réseau, mais pas rentrer ce qui provient d'une adresse sensée être interne. Ainsi, tu peut accepter avec shorewall ces plages, car le premier firewall les bloque.
Perso, je n'autorise pas une plage complette avec shorewall, mais que les IP de mes ordis sur réseau interne. Tu peux aussi n'ouvrir que certains ports sur les adresses IP autorisées.
Bon et bien je crois que cela répond à la question que je viens juste de poster (en même temps que cette réponse)
Bonne chance.
merci -- Ph
Le Thu, 06 May 2004 09:02:13 +0200,
Dans le forum fr.comp.os.linux.configuration,
N'oublie pas de vérifier que ton modem-routeur-firewall filtre bien
et bloque tout ce qui vient d'internet se trouvant sur ta plage
d'adresses IP interne. Ainsi, 10.X.X.X ou 192.0.X.X ne poura
provenir qu'en interne. Il n'y a aucuns serveurs sur ces plages sur
internet, car ce sont des plages d'adresses privées, utilisées pour
des réseaux internes privés, et donc non routés. Ton
modem-routeur-firewall fait du Nat en laissant sortir ce qui est
dans ton réseau, mais pas rentrer ce qui provient d'une adresse
sensée être interne. Ainsi, tu peut accepter avec shorewall ces
plages, car le premier firewall les bloque.
Perso, je n'autorise pas une plage complette avec shorewall, mais
que les IP de mes ordis sur réseau interne. Tu peux aussi n'ouvrir
que certains ports sur les adresses IP autorisées.
Bon et bien je crois que cela répond à la question que je viens juste
de poster (en même temps que cette réponse)
Le Thu, 06 May 2004 09:02:13 +0200, Dans le forum fr.comp.os.linux.configuration,
N'oublie pas de vérifier que ton modem-routeur-firewall filtre bien et bloque tout ce qui vient d'internet se trouvant sur ta plage d'adresses IP interne. Ainsi, 10.X.X.X ou 192.0.X.X ne poura provenir qu'en interne. Il n'y a aucuns serveurs sur ces plages sur internet, car ce sont des plages d'adresses privées, utilisées pour des réseaux internes privés, et donc non routés. Ton modem-routeur-firewall fait du Nat en laissant sortir ce qui est dans ton réseau, mais pas rentrer ce qui provient d'une adresse sensée être interne. Ainsi, tu peut accepter avec shorewall ces plages, car le premier firewall les bloque.
Perso, je n'autorise pas une plage complette avec shorewall, mais que les IP de mes ordis sur réseau interne. Tu peux aussi n'ouvrir que certains ports sur les adresses IP autorisées.
Bon et bien je crois que cela répond à la question que je viens juste de poster (en même temps que cette réponse)
Bonne chance.
merci -- Ph
TiChou
Dans le message <news:, *MxPh* tapota sur f.c.o.l.configuration :
Bonjour,
Bonjour,
Je veux construire un petit réseau perso avec un accès à internet pour chaque poste (par ex 2) comme suit :
[...]
Mon modem peut être équipé d'un firewall mais je voudrais mettre shorewall 2.0 en plus sur chaque poste du réseau local.
Le problème qui se pose est que je voudrais que shorewall interdise les connexions venant d'internet
Il n'y a bien évidement aucune connexion venant d'Internet qui peut aboutir sur les postes locaux sauf les éventuelles connexions relatives aux redirections de ports qui auraient pu être configurées par vous même sur le routeur et qui sont donc voulues.
-- TiChou
Dans le message <news:slrnc9jjrq.sr5.PhPointMonroux@serveur.mondomaine>,
*MxPh* tapota sur f.c.o.l.configuration :
Bonjour,
Bonjour,
Je veux construire un petit réseau perso avec un accès à internet pour
chaque poste (par ex 2) comme suit :
[...]
Mon modem peut être équipé d'un firewall mais je voudrais mettre
shorewall 2.0 en plus sur chaque poste du réseau local.
Le problème qui se pose est que je voudrais que shorewall interdise
les connexions venant d'internet
Il n'y a bien évidement aucune connexion venant d'Internet qui peut aboutir
sur les postes locaux sauf les éventuelles connexions relatives aux
redirections de ports qui auraient pu être configurées par vous même sur le
routeur et qui sont donc voulues.
Dans le message <news:, *MxPh* tapota sur f.c.o.l.configuration :
Bonjour,
Bonjour,
Je veux construire un petit réseau perso avec un accès à internet pour chaque poste (par ex 2) comme suit :
[...]
Mon modem peut être équipé d'un firewall mais je voudrais mettre shorewall 2.0 en plus sur chaque poste du réseau local.
Le problème qui se pose est que je voudrais que shorewall interdise les connexions venant d'internet
Il n'y a bien évidement aucune connexion venant d'Internet qui peut aboutir sur les postes locaux sauf les éventuelles connexions relatives aux redirections de ports qui auraient pu être configurées par vous même sur le routeur et qui sont donc voulues.
