Conversation
precedente ou
suivante
Shorewall
Envoyé par:
Dibzou
Bonjour,
J'ai installé et configuré shorewall 2.2.3 sur ma debian 2.6.8 qui sert de passerelle avec 2 interfaces réseau.
Sans lancer shorewall, j'arrive à pinger et me connecter à ma passerelle via ssh depuis le lan et le net sans problème.
Par contre, une fois shorewall démarré : j'ai internet sur le réseau mais je n'arrive plus à accéder à ma passerelle via ssh, ni à la pinger depuis le net.
Pourtant, j'ai fait plusieurs tests et j'ai l'impression que les règles n'ont pas l'air de fonctionner.
Dans voici la config dans /etc/shorewall, j'y ai mis le strict minimum :
zones:
net Net Internet
loc Local Local Networks
interfaces :
net eth0 detect dhcp,routefilter,norfc1918,tcpflags
loc eth1 detect tcpflags
policy:
loc net ACCEPT
fw net ACCEPT
net all DROP info
all all REJECT info
rules:
ACCEPT loc fw tcp 22
ACCEPT net fw tcp 22
ACCEPT loc fw icmp 8
ACCEPT net fw icmp 8
ACCEPT fw loc icmp
ACCEPT fw net icmp
masq:
eth0 eth1
routedstopped:
eth1 -
Ca doit être quelque chose de bête mais je n'arrive pas à trouver...
Merci pour votre aide....
DibZou.
J'ai installé et configuré shorewall 2.2.3 sur ma debian 2.6.8 qui sert de passerelle avec 2 interfaces réseau.
Sans lancer shorewall, j'arrive à pinger et me connecter à ma passerelle via ssh depuis le lan et le net sans problème.
Par contre, une fois shorewall démarré : j'ai internet sur le réseau mais je n'arrive plus à accéder à ma passerelle via ssh, ni à la pinger depuis le net.
Pourtant, j'ai fait plusieurs tests et j'ai l'impression que les règles n'ont pas l'air de fonctionner.
Dans voici la config dans /etc/shorewall, j'y ai mis le strict minimum :
zones:
net Net Internet
loc Local Local Networks
interfaces :
net eth0 detect dhcp,routefilter,norfc1918,tcpflags
loc eth1 detect tcpflags
policy:
loc net ACCEPT
fw net ACCEPT
net all DROP info
all all REJECT info
rules:
ACCEPT loc fw tcp 22
ACCEPT net fw tcp 22
ACCEPT loc fw icmp 8
ACCEPT net fw icmp 8
ACCEPT fw loc icmp
ACCEPT fw net icmp
masq:
eth0 eth1
routedstopped:
eth1 -
Ca doit être quelque chose de bête mais je n'arrive pas à trouver...
Merci pour votre aide....
DibZou.
Poste le Wednesday 3 May 2006 14:57:56
Re: Shorewall
Envoyé par:
Bullet
Je ne suis pas certain que çà va t'aider. Je patauge de mon côté avec shorewall sur mandrake.
Quand tu lances la commande shorewall restart dans un terminal, regarde la réponse fournie.
Chez moi je viens de me rendre compte que shorewall au lancement va chercher des actions dans /usr/share/shorewall qui "contredisent" ce que j'ai écrit dans /etc/shorewall/rules
extrait de mon lancement de shorewall :
Processing /etc/shorewall/initdone ...
IP Forwarding Enabled
Processing /etc/shorewall/tunnels...
Processing /etc/shorewall/ipsec...
Processing /etc/shorewall/rules...
Rule "REDIRECT loc 3128 tcp www -" added.
Rule "ACCEPT net fw udp 53 -" added.
Rule "ACCEPT net fw tcp 53 -" added.
Rule "ACCEPT net fw 80 -" added.
Rule "ACCEPT:info net fw tcp 110 -" added.
Rule "ACCEPT:info net fw tcp 25 -" added.
Rule "ACCEPT:info net fw tcp 587 -" added.
Processing Actions...
Generating Transitive Closure of Used-action List...
Processing /usr/share/shorewall/action.Drop for Chain Drop...
Rule "RejectAuth" added.
Rule "dropBcast" added.
Rule "AllowICMPs - - icmp" added.
Rule "dropInvalid" added.
Rule "DropSMB" added.
Rule "DropUPnP" added.
Rule "dropNotSyn - - tcp" added.
Rule "DropDNSrep" added.
Processing /usr/share/shorewall/action.Reject for Chain Reject...
Rule "RejectAuth" added.
Rule "dropBcast" added.
Rule "AllowICMPs - - icmp" added.
Rule "dropInvalid" added.
Rule "RejectSMB" added.
Rule "DropUPnP" added.
Rule "dropNotSyn - - tcp" added.
Rule "DropDNSrep" added.
Processing /usr/share/shorewall/action.RejectAuth for Chain RejectAuth...
Rule "REJECT - - tcp 113" added.
Processing /usr/share/shorewall/action.AllowICMPs for Chain AllowICMPs...
Rule "ACCEPT - - icmp fragmentation-needed" added.
Rule "ACCEPT - - icmp time-exceeded" added.
Processing /usr/share/shorewall/action.DropSMB for Chain DropSMB...
Rule "DROP - - udp 135" added.
Rule "DROP - - udp 137:139" added.
Rule "DROP - - udp 445" added.
Rule "DROP - - tcp 135" added.
Rule "DROP - - tcp 139" added.
Rule "DROP - - tcp 445" added.
Processing /usr/share/shorewall/action.DropUPnP for Chain DropUPnP...
Rule "DROP - - udp 1900" added.
Processing /usr/share/shorewall/action.DropDNSrep for Chain DropDNSrep...
Rule "DROP - - udp - 53" added.
Processing /usr/share/shorewall/action.RejectSMB for Chain RejectSMB...
Rule "REJECT - - udp 135" added.
Rule "REJECT - - udp 137:139" added.
Rule "REJECT - - udp 445" added.
Rule "REJECT - - tcp 135" added.
Rule "REJECT - - tcp 139" added.
Rule "REJECT - - tcp 445" added.
Bon courage.
PS : chez moi j'arrive à naviguer sur le web depuis le local mais pas courrier possible ! :-(
--------------------------------------------------------------------------------
Le monde est tellement con, on dirait que c'est moi qui fait tout !
Quand tu lances la commande shorewall restart dans un terminal, regarde la réponse fournie.
Chez moi je viens de me rendre compte que shorewall au lancement va chercher des actions dans /usr/share/shorewall qui "contredisent" ce que j'ai écrit dans /etc/shorewall/rules
extrait de mon lancement de shorewall :
Processing /etc/shorewall/initdone ...
IP Forwarding Enabled
Processing /etc/shorewall/tunnels...
Processing /etc/shorewall/ipsec...
Processing /etc/shorewall/rules...
Rule "REDIRECT loc 3128 tcp www -" added.
Rule "ACCEPT net fw udp 53 -" added.
Rule "ACCEPT net fw tcp 53 -" added.
Rule "ACCEPT net fw 80 -" added.
Rule "ACCEPT:info net fw tcp 110 -" added.
Rule "ACCEPT:info net fw tcp 25 -" added.
Rule "ACCEPT:info net fw tcp 587 -" added.
Processing Actions...
Generating Transitive Closure of Used-action List...
Processing /usr/share/shorewall/action.Drop for Chain Drop...
Rule "RejectAuth" added.
Rule "dropBcast" added.
Rule "AllowICMPs - - icmp" added.
Rule "dropInvalid" added.
Rule "DropSMB" added.
Rule "DropUPnP" added.
Rule "dropNotSyn - - tcp" added.
Rule "DropDNSrep" added.
Processing /usr/share/shorewall/action.Reject for Chain Reject...
Rule "RejectAuth" added.
Rule "dropBcast" added.
Rule "AllowICMPs - - icmp" added.
Rule "dropInvalid" added.
Rule "RejectSMB" added.
Rule "DropUPnP" added.
Rule "dropNotSyn - - tcp" added.
Rule "DropDNSrep" added.
Processing /usr/share/shorewall/action.RejectAuth for Chain RejectAuth...
Rule "REJECT - - tcp 113" added.
Processing /usr/share/shorewall/action.AllowICMPs for Chain AllowICMPs...
Rule "ACCEPT - - icmp fragmentation-needed" added.
Rule "ACCEPT - - icmp time-exceeded" added.
Processing /usr/share/shorewall/action.DropSMB for Chain DropSMB...
Rule "DROP - - udp 135" added.
Rule "DROP - - udp 137:139" added.
Rule "DROP - - udp 445" added.
Rule "DROP - - tcp 135" added.
Rule "DROP - - tcp 139" added.
Rule "DROP - - tcp 445" added.
Processing /usr/share/shorewall/action.DropUPnP for Chain DropUPnP...
Rule "DROP - - udp 1900" added.
Processing /usr/share/shorewall/action.DropDNSrep for Chain DropDNSrep...
Rule "DROP - - udp - 53" added.
Processing /usr/share/shorewall/action.RejectSMB for Chain RejectSMB...
Rule "REJECT - - udp 135" added.
Rule "REJECT - - udp 137:139" added.
Rule "REJECT - - udp 445" added.
Rule "REJECT - - tcp 135" added.
Rule "REJECT - - tcp 139" added.
Rule "REJECT - - tcp 445" added.
Bon courage.
PS : chez moi j'arrive à naviguer sur le web depuis le local mais pas courrier possible ! :-(
--------------------------------------------------------------------------------
Le monde est tellement con, on dirait que c'est moi qui fait tout !
Poste le Tuesday 6 June 2006 11:50:09
Ce forum !
Shorewall
Aide sur les distributions Debian, Ubuntu et leurs dérivées : Mepis, Mint, Knoppix, Kubuntu, Lubuntu, Xandros
Sauf mention contraire, les documentations publiées sont sous licence Creative-Commons