bonjour,
j'ai une mandrake 10.0 avec Shorewall-2.2.0 comme parefeu.
j'ai une borne adsl netgear (dhcp, firewall, etc...) sur cette borne j'ai un 2eme pc sous xp.
je voudrai configurer shorewall pour rendre le partage de fichier sous windows xp accessible depuis ma mandrake sans causer de faille de sécurité.
je n'ai jamais paramétré shorewall. je m'étais penché sur le problème mais j'avais abandonné l'histoire car j'ai le réseau local et le reseau internet confondu et que j'avais peur de faire plus de conneries qu'autre chose.
sur le site de shorewall j'ai trouvé des docs mais aucune ne parle de mon cas ou le réseau internet et le réseau local sont sur la meme interface (eth0).
je fais donc appel a ceux qui ont déja résolut ce cas de figure de manière relativement sécurisé (la solution d'éteindre shorewall me parait un peut bourin ;-) ).
qu'est ce que je dois taper dans le fichier des zones : etc/shorewall/shorewall.conf ?
et qu'est ce que je doit taper dans le fichier des rules : /etc/shorewall/rules ?
merci pour votre aide
Tchoua
Forum général.général shorewall et smb
29
juil.
2005
# Netfilter_cfg
Posté par Olivier (site web personnel) . Évalué à 1.
Si ton réseau local est en 192.168.0.0/255.255.255.0
et que ton linux a pour adresse IP 192.168.0.1 (interface eth0)
alors tu peux configurer la ligne :
LAN[0]="eth0|192.168.0.1|255.255.255.0|192.168.0.255||non_routable"
Et si tu cherches une doc assez complète sur la sécurité et le firewall sous Linux, tu peux regarder ici : http://olivieraj.free.fr/fr/linux/information/firewall/(...)
[^] # Re: Netfilter_cfg
Posté par francois chiausa . Évalué à 1.
j'ai cherché se genre de document passé un moment mais j'avais abandonné car je ne trouvé pas ce que je cherché .
je vais l'étudier a fond et mixer ce que je vai apprendre avec les tutoriels sur le site de shorewall, en espérant que je trouverai un solution de paramétrage pour shorewall et smb.
[^] # Re: Netfilter_cfg
Posté par francois chiausa . Évalué à 1.
je n'arrive pas a faire fonctionner ftp en temps que client. je ne sais pas comment je peux faire.
j'ai configurer contrack (enfin je crois : j'ai taper modprobe ip_conntrack puis modprobe ip_conntrack_ftp)
le script est le suivant :
--------------------------------------------------------------------------------------------
# Suppression de toutes les chaînes pré-définies de la table FILTER
iptables -t filter -F
# Suppression de toutes les chaînes utilisateur de la table FILTER
iptables -t filter -X
# Par defaut, toute les paquets sont détruits
iptables -t filter -P INPUT DROP
iptables -t filter -P OUTPUT DROP
iptables -t filter -P FORWARD DROP
# Autorise l'interface loopback à dialoguer avec elle-même
iptables -t filter -A OUTPUT -o lo -s 0.0.0.0/0 -d 0.0.0.0/0 -j ACCEPT
iptables -t filter -A INPUT -i lo -s 0.0.0.0/0 -d 0.0.0.0/0 -j ACCEPT
# Autorise les connexions avec le réseau 192.168.0.0/24 connecté à l'interface eth0
iptables -t filter -A OUTPUT -o eth0 -s 192.168.0.0/24 -d 192.168.0.0/24 -j ACCEPT
iptables -t filter -A INPUT -i eth0 -s 192.168.0.0/24 -d 192.168.0.0/24 -j ACCEPT
# Autorise les connexions avec internet uniquement en direction et venant des services
# HTTP (80/TCP) et HTTPS (443/TCP)
iptables -t filter -A OUTPUT -o eth0 -s 192.168.0.0/24 -d 0.0.0.0/0 -p tcp --dport 80 -j ACCEPT
iptables -t filter -A OUTPUT -o eth0 -s 192.168.0.0/24 -d 0.0.0.0/0 -p tcp --dport 443 -j ACCEPT
iptables -t filter -A INPUT -i eth0 -s 0.0.0.0/0 -d 192.168.0.0/24 -p tcp --sport 80 -j ACCEPT
iptables -t filter -A INPUT -i eth0 -s 0.0.0.0/0 -d 192.168.0.0/24 -p tcp --sport 443 -j ACCEPT
# Authorise la messagerie IMAP POP et SMTP
# IMAP securisé 993 normal 143
iptables -t filter -A OUTPUT -o eth0 -s 192.168.0.0/24 -d 0.0.0.0/0 -p tcp --dport 143 -j ACCEPT
iptables -t filter -A OUTPUT -o eth0 -s 192.168.0.0/24 -d 0.0.0.0/0 -p tcp --dport 993 -j ACCEPT
iptables -t filter -A INPUT -i eth0 -s 0.0.0.0/0 -d 192.168.0.0/24 -p tcp --sport 143 -j ACCEPT
iptables -t filter -A INPUT -i eth0 -s 0.0.0.0/0 -d 192.168.0.0/24 -p tcp --sport 993 -j ACCEPT
# 110 #Unsecure POP3 995 #Secure POP3
iptables -t filter -A OUTPUT -o eth0 -s 192.168.0.0/24 -d 0.0.0.0/0 -p tcp --dport 110 -j ACCEPT
iptables -t filter -A OUTPUT -o eth0 -s 192.168.0.0/24 -d 0.0.0.0/0 -p tcp --dport 995 -j ACCEPT
iptables -t filter -A INPUT -i eth0 -s 0.0.0.0/0 -d 192.168.0.0/24 -p tcp --sport 110 -j ACCEPT
iptables -t filter -A INPUT -i eth0 -s 0.0.0.0/0 -d 192.168.0.0/24 -p tcp --sport 995 -j ACCEPT
# SMTP 25
iptables -t filter -A OUTPUT -o eth0 -s 192.168.0.0/24 -d 0.0.0.0/0 -p tcp --dport 25 -j ACCEPT
iptables -t filter -A INPUT -i eth0 -s 0.0.0.0/0 -d 192.168.0.0/24 -p tcp --sport 25 -j ACCEPT
# Autorise les connexions avec internet uniquement si elles sont initialisées par
# les process locaux
iptables -t filter -A OUTPUT -o eth0 -s 192.168.0.0/24 -d 0.0.0.0/0 -p all -m state --state ! INVALID -j ACCEPT
iptables -t filter -A INPUT -i ethO -s 0.0.0.0/0 -d 192.168.0.0/24 -p all -m state --state RELATED,ESTABLISHED -j ACCEPT
---------------------------------------------------------------------------------------------------
le pb c'est que le ftp marche pas. et donc urpmi ne marche non plus.
comment je peux faire pour faire fonctionner le ftp en client ?
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.