Je suis en train de configurer un firewall shorewall à deux interfaces (donc
3 zônes, fw, loc=local, net=internet). Tout ça c'est bien joli et ça marche
bien, j'ai mis des belles règles dans /etc/shorewall/rules (je suis sur
Mandrake 2006), comme d'habitude.
Cependant quelque chose me chiffonne, pour des raisons pratiques, je
souhaitais séparer les règles par fichier individuel (un fichier par
service; web, squid, pop etc...) car la politique de sécurité dans ce cas
est très stricte.
J'avais repéré il y a quelque temps que le répertoire /usr/share/shorewall
contenait des fichiers de règles individuels tels que ce que je souhaitais ;
les fichiers action.allow*, action.Drop*, action.Reject*. Tous ces fichiers
de règles sont sous la dépendance du
fichier /usr/share/shorewall/actions.std. Seulement, voilà, problème. Quoi
que l'on fasse, ces fichiers sont bien lancés au cours de la procédure de
démarrage de shorewall ; lors d'un "service shorewall restart" (Mandrake)
on a bien les lignes suivantes:
tous les fichiers sont bien lus ("Pre-processing") mais ils sont aussitôt
effacés (deleting user chains) c'est vraiment dommage, car ils contiennent
entre autre des règles extrèmement intéressantes concernant le broadcast,
qui sont quasiment impossible à mettre en oeuvre autrement.
J'ai recherché de l'information dans www.shorewall.net, mais ça n'est pas
clair du tout à ce sujet, et en fait, à part mettre toutes mes règles
dans /etc/shorewall/rules; je ne suis jamais parvenu à quoi que ce soit en
ce qui concerne ce répertoire ; toujours lu mais aussitôt éffacé.
Alors de deux choses l'une
-/usr/share/shorewall net sert à rien, et on se demande alors pourquoi il
existe
- j'ai loupé quelque chose
quelqu'un peut il m'aider à activer les règles de ce répertoire ??
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Christophe PEREZ
Le Fri, 25 Nov 2005 10:53:51 +0100, HelloMan a écrit:
Alors de deux choses l'une
-/usr/share/shorewall net sert à rien, et on se demande alors pourquoi il existe
ça serait bien étonnant...
- j'ai loupé quelque chose
Il me semble, oui. Dans le fichier rules de ma gentoo, je peux lire : # Columns are: # # ACTION ACCEPT, DROP, REJECT, DNAT, DNAT-, REDIRECT, CONTINUE, # LOG, QUEUE or an <action>. [...] # <action> -- The name of an action defined in # /etc/shorewall/actions or in # /usr/share/shorewall/actions.std.
Et dans actions.std, on voit bien les actions contenues dans ce même répertoire :
[...] #ACTION
DropSMB #Silently Drops Microsoft SMB Traffic RejectSMB #Silently Reject Microsoft SMB Traffic DropUPnP #Silently Drop UPnP Probes [...]
Tout ceci me semble assez clair.
Ceci dit, j'avoue que je ne connaissais absolument pas ce principe, et que ça peut-être intéressant à utiliser. À étudier ;-)
-- Christophe PEREZ Écrivez moi sans _faute !
Le Fri, 25 Nov 2005 10:53:51 +0100, HelloMan a écrit:
Alors de deux choses l'une
-/usr/share/shorewall net sert à rien, et on se demande alors pourquoi il
existe
ça serait bien étonnant...
- j'ai loupé quelque chose
Il me semble, oui.
Dans le fichier rules de ma gentoo, je peux lire :
# Columns are:
#
# ACTION ACCEPT, DROP, REJECT, DNAT, DNAT-, REDIRECT, CONTINUE,
# LOG, QUEUE or an <action>.
[...]
# <action> -- The name of an action defined in
# /etc/shorewall/actions or in
# /usr/share/shorewall/actions.std.
Et dans actions.std, on voit bien les actions contenues dans ce même
répertoire :
[...]
#ACTION
DropSMB #Silently Drops Microsoft SMB Traffic
RejectSMB #Silently Reject Microsoft SMB Traffic
DropUPnP #Silently Drop UPnP Probes
[...]
Tout ceci me semble assez clair.
Ceci dit, j'avoue que je ne connaissais absolument pas ce principe, et que
ça peut-être intéressant à utiliser. À étudier ;-)
Le Fri, 25 Nov 2005 10:53:51 +0100, HelloMan a écrit:
Alors de deux choses l'une
-/usr/share/shorewall net sert à rien, et on se demande alors pourquoi il existe
ça serait bien étonnant...
- j'ai loupé quelque chose
Il me semble, oui. Dans le fichier rules de ma gentoo, je peux lire : # Columns are: # # ACTION ACCEPT, DROP, REJECT, DNAT, DNAT-, REDIRECT, CONTINUE, # LOG, QUEUE or an <action>. [...] # <action> -- The name of an action defined in # /etc/shorewall/actions or in # /usr/share/shorewall/actions.std.
Et dans actions.std, on voit bien les actions contenues dans ce même répertoire :
[...] #ACTION
DropSMB #Silently Drops Microsoft SMB Traffic RejectSMB #Silently Reject Microsoft SMB Traffic DropUPnP #Silently Drop UPnP Probes [...]
Tout ceci me semble assez clair.
Ceci dit, j'avoue que je ne connaissais absolument pas ce principe, et que ça peut-être intéressant à utiliser. À étudier ;-)