shorewall une seule interface pour le net et le lan
4 réponses
fchiausa
Bonjour,
j'essaie de configurer shorewall depuis plusieurs jours mais je n'y
parviens pas.
j'ai qu'une seule carte r=E9seau (eth0) sur ma machine.
j'ai un r=E9seau avec un router adsl qui partage ma connexion entre un
windows XP et mon pc avec mandrake dessus.
ce que je veux faire c'est securiser ma machine sur internet, mais
autoriser le partage de fichier (samba) sur le lan.
cela parait simple avec 2 interfaces mais sur une seule interface je
n'arrive pas a configurer les zones de shorewall.
comment faut il que je fasse ?
faut il essayer de decouper l'interface eth0 en 2 zones ou faut il
cr=E9er une zone et g=E9rer les autorisations dans les rules ?
Cette action est irreversible, confirmez la suppression du commentaire ?
Signaler le commentaire
Veuillez sélectionner un problème
Nudité
Violence
Harcèlement
Fraude
Vente illégale
Discours haineux
Terrorisme
Autre
Vincent Bernat
OoO En cette fin de nuit blanche du samedi 06 août 2005, vers 06:51, disait:
j'ai qu'une seule carte réseau (eth0) sur ma machine. j'ai un réseau avec un router adsl qui partage ma connexion entre un windows XP et mon pc avec mandrake dessus. ce que je veux faire c'est securiser ma machine sur internet, mais autoriser le partage de fichier (samba) sur le lan. cela parait simple avec 2 interfaces mais sur une seule interface je n'arrive pas a configurer les zones de shorewall.
La carte ne dispose que d'une seule adresse IP ? Si elle dispose de plusieurs IP, il y alors des cartes virtuelles, type eth0:0. Si elle ne dispose que d'une IP (je ne vois pas trop comment cela peut fonctionner), dans /etc/shorewall/interfaces, mettre un tiret "-" pour la zone plutôt que son nom et modifier le fichier /etc/shorewall/hosts pour indiquer les zones rattachées à cette interface :
OoO En cette fin de nuit blanche du samedi 06 août 2005, vers 06:51,
fchiausa@free.fr disait:
j'ai qu'une seule carte réseau (eth0) sur ma machine.
j'ai un réseau avec un router adsl qui partage ma connexion entre un
windows XP et mon pc avec mandrake dessus.
ce que je veux faire c'est securiser ma machine sur internet, mais
autoriser le partage de fichier (samba) sur le lan.
cela parait simple avec 2 interfaces mais sur une seule interface je
n'arrive pas a configurer les zones de shorewall.
La carte ne dispose que d'une seule adresse IP ? Si elle dispose de
plusieurs IP, il y alors des cartes virtuelles, type eth0:0. Si elle
ne dispose que d'une IP (je ne vois pas trop comment cela peut
fonctionner), dans /etc/shorewall/interfaces, mettre un tiret "-" pour
la zone plutôt que son nom et modifier le fichier /etc/shorewall/hosts
pour indiquer les zones rattachées à cette interface :
OoO En cette fin de nuit blanche du samedi 06 août 2005, vers 06:51, disait:
j'ai qu'une seule carte réseau (eth0) sur ma machine. j'ai un réseau avec un router adsl qui partage ma connexion entre un windows XP et mon pc avec mandrake dessus. ce que je veux faire c'est securiser ma machine sur internet, mais autoriser le partage de fichier (samba) sur le lan. cela parait simple avec 2 interfaces mais sur une seule interface je n'arrive pas a configurer les zones de shorewall.
La carte ne dispose que d'une seule adresse IP ? Si elle dispose de plusieurs IP, il y alors des cartes virtuelles, type eth0:0. Si elle ne dispose que d'une IP (je ne vois pas trop comment cela peut fonctionner), dans /etc/shorewall/interfaces, mettre un tiret "-" pour la zone plutôt que son nom et modifier le fichier /etc/shorewall/hosts pour indiquer les zones rattachées à cette interface :
La carte ne dispose que d'une seule adresse IP ? Si elle dispose de plusieurs IP, il y alors des cartes virtuelles, type eth0:0.
Non, ces cartes « virtuelles » sont un artefact d'ifconfig. D'autres outils (iproute2 par exemple, ou même simplement route) ne les affichent pas, et elles n'ont pas d'existence pour le noyau, et donc il est impossible de faire du filtrage sur ce critère.
Si elle ne dispose que d'une IP (je ne vois pas trop comment cela peut fonctionner),
Il a dit qu'il avait un routeur dédié au partage de connexion : dans ces conditions, il n'y a aucun problème.
Mais même sinon, il est tout à fait possible d'avoir deux réseaux distincts sur un même brin ethernet, et si les machines sont configurées en conséquence, il n'y a pas besoin de routeur pour que les machines d'un réseau voient celles de l'autre.
Vincent Bernat wrote in message <m3d5ory2lc.fsf@neo.luffy.cx>:
La carte ne dispose que d'une seule adresse IP ? Si elle dispose de
plusieurs IP, il y alors des cartes virtuelles, type eth0:0.
Non, ces cartes « virtuelles » sont un artefact d'ifconfig. D'autres outils
(iproute2 par exemple, ou même simplement route) ne les affichent pas, et
elles n'ont pas d'existence pour le noyau, et donc il est impossible de
faire du filtrage sur ce critère.
Si elle
ne dispose que d'une IP (je ne vois pas trop comment cela peut
fonctionner),
Il a dit qu'il avait un routeur dédié au partage de connexion : dans ces
conditions, il n'y a aucun problème.
Mais même sinon, il est tout à fait possible d'avoir deux réseaux distincts
sur un même brin ethernet, et si les machines sont configurées en
conséquence, il n'y a pas besoin de routeur pour que les machines d'un
réseau voient celles de l'autre.
La carte ne dispose que d'une seule adresse IP ? Si elle dispose de plusieurs IP, il y alors des cartes virtuelles, type eth0:0.
Non, ces cartes « virtuelles » sont un artefact d'ifconfig. D'autres outils (iproute2 par exemple, ou même simplement route) ne les affichent pas, et elles n'ont pas d'existence pour le noyau, et donc il est impossible de faire du filtrage sur ce critère.
Si elle ne dispose que d'une IP (je ne vois pas trop comment cela peut fonctionner),
Il a dit qu'il avait un routeur dédié au partage de connexion : dans ces conditions, il n'y a aucun problème.
Mais même sinon, il est tout à fait possible d'avoir deux réseaux distincts sur un même brin ethernet, et si les machines sont configurées en conséquence, il n'y a pas besoin de routeur pour que les machines d'un réseau voient celles de l'autre.
morbidux
Bonjour,
j'essaie de configurer shorewall depuis plusieurs jours mais je n'y parviens pas. j'ai qu'une seule carte réseau (eth0) sur ma machine. j'ai un réseau avec un router adsl qui partage ma connexion entre un windows XP et mon pc avec mandrake dessus. ce que je veux faire c'est securiser ma machine sur internet, mais autoriser le partage de fichier (samba) sur le lan. cela parait simple avec 2 interfaces mais sur une seule interface je n'arrive pas a configurer les zones de shorewall.
comment faut il que je fasse ?
faut il essayer de decouper l'interface eth0 en 2 zones ou faut il créer une zone et gérer les autorisations dans les rules ?
merci
Bonjour, Je ne suis pas sur d'avoir bien saisie, tu me corigera si nécessaire... Tu dispose d'une machine d'ip type 10.x.x.x et une autre type 192.168.x.x, toutes deux reliées par un routeur. Tu veux que seule les ip type 192.168.x.x puissent accéder à samba. Ne pourrais tu pas y aller à coup d'iptables ? Ou même plus simplement, dans smb.conf, tu peux filtrer les classes d'adresses ayant accès à samba...
Bon courage.
Bonjour,
j'essaie de configurer shorewall depuis plusieurs jours mais je n'y
parviens pas.
j'ai qu'une seule carte réseau (eth0) sur ma machine.
j'ai un réseau avec un router adsl qui partage ma connexion entre un
windows XP et mon pc avec mandrake dessus.
ce que je veux faire c'est securiser ma machine sur internet, mais
autoriser le partage de fichier (samba) sur le lan.
cela parait simple avec 2 interfaces mais sur une seule interface je
n'arrive pas a configurer les zones de shorewall.
comment faut il que je fasse ?
faut il essayer de decouper l'interface eth0 en 2 zones ou faut il
créer une zone et gérer les autorisations dans les rules ?
merci
Bonjour,
Je ne suis pas sur d'avoir bien saisie, tu me corigera si nécessaire...
Tu dispose d'une machine d'ip type 10.x.x.x et une autre type
192.168.x.x, toutes deux reliées par un routeur. Tu veux que seule les
ip type 192.168.x.x puissent accéder à samba.
Ne pourrais tu pas y aller à coup d'iptables ?
Ou même plus simplement, dans smb.conf, tu peux filtrer les classes
d'adresses ayant accès à samba...
j'essaie de configurer shorewall depuis plusieurs jours mais je n'y parviens pas. j'ai qu'une seule carte réseau (eth0) sur ma machine. j'ai un réseau avec un router adsl qui partage ma connexion entre un windows XP et mon pc avec mandrake dessus. ce que je veux faire c'est securiser ma machine sur internet, mais autoriser le partage de fichier (samba) sur le lan. cela parait simple avec 2 interfaces mais sur une seule interface je n'arrive pas a configurer les zones de shorewall.
comment faut il que je fasse ?
faut il essayer de decouper l'interface eth0 en 2 zones ou faut il créer une zone et gérer les autorisations dans les rules ?
merci
Bonjour, Je ne suis pas sur d'avoir bien saisie, tu me corigera si nécessaire... Tu dispose d'une machine d'ip type 10.x.x.x et une autre type 192.168.x.x, toutes deux reliées par un routeur. Tu veux que seule les ip type 192.168.x.x puissent accéder à samba. Ne pourrais tu pas y aller à coup d'iptables ? Ou même plus simplement, dans smb.conf, tu peux filtrer les classes d'adresses ayant accès à samba...
Bon courage.
fchiausa
mon reseau : j'ai le windows en 192.168.0.3 le linux en 192.168.0.2 le routeur en 192.168.0.1 le routeur partage l'acces internet entre linux et windows windows. Windows est sécurisé par le parfeu de windows (je ne me sousci pas de cette machine) et je voudrais securisé mon linux pour le net.
shorewall est configurer mais mal configuré car y a rien qui marche. (pourtant j'y ai mis du coeur pour le configurer :-(( ) voici comment j'ai configuré shorewall : dans le fichier interfaces j'ai tapé : #je fragment l'interface eth0 en 2 hosts - eth0
dans le fichier des zones j'ai tapé : loc Local Lan net Net Internet zone
dans le fichier hosts j'ai tapé : #je donnes les adresses qui appartiennent a chacune des zones net eth0:0.0.0.0/0 loc eth0:192.168.0.0/24
dans le fichier rules j'ai tapé : AllowWeb loc net AllowPing loc net AllowICMPs loc net
avec tout ca je ne comprend pas ce qui cloche ???
mon reseau :
j'ai le windows en 192.168.0.3
le linux en 192.168.0.2
le routeur en 192.168.0.1
le routeur partage l'acces internet entre linux et windows windows.
Windows est sécurisé par le parfeu de windows (je ne me sousci pas de
cette machine) et je voudrais securisé mon linux pour le net.
shorewall est configurer mais mal configuré car y a rien qui marche.
(pourtant j'y ai mis du coeur pour le configurer :-(( )
voici comment j'ai configuré shorewall :
dans le fichier interfaces j'ai tapé :
#je fragment l'interface eth0 en 2 hosts
- eth0
dans le fichier des zones j'ai tapé :
loc Local Lan
net Net Internet zone
dans le fichier hosts j'ai tapé :
#je donnes les adresses qui appartiennent a chacune des zones
net eth0:0.0.0.0/0
loc eth0:192.168.0.0/24
dans le fichier rules j'ai tapé :
AllowWeb loc net
AllowPing loc net
AllowICMPs loc net
mon reseau : j'ai le windows en 192.168.0.3 le linux en 192.168.0.2 le routeur en 192.168.0.1 le routeur partage l'acces internet entre linux et windows windows. Windows est sécurisé par le parfeu de windows (je ne me sousci pas de cette machine) et je voudrais securisé mon linux pour le net.
shorewall est configurer mais mal configuré car y a rien qui marche. (pourtant j'y ai mis du coeur pour le configurer :-(( ) voici comment j'ai configuré shorewall : dans le fichier interfaces j'ai tapé : #je fragment l'interface eth0 en 2 hosts - eth0
dans le fichier des zones j'ai tapé : loc Local Lan net Net Internet zone
dans le fichier hosts j'ai tapé : #je donnes les adresses qui appartiennent a chacune des zones net eth0:0.0.0.0/0 loc eth0:192.168.0.0/24
dans le fichier rules j'ai tapé : AllowWeb loc net AllowPing loc net AllowICMPs loc net
