Oliver Elphick <[EMAIL PROTECTED]> wrote: | On Fri, 2007-06-15 at 10:04 +0200, mess-mate wrote: | > Oliver Elphick <[EMAIL PROTECTED]> wrote: | > | Le routeur est le coupe-feu qui reçoit tous les paquets de l'internet. | > | Sur le coupe-feu on peut dévier certains paquets à autres machines. On | > | peut dévier les paquets https à une machine derrière la coupe-feu, par | > | example. | > | | > | Il faut expliquer ce que tu veux faire exactement. | > | | > Tout simplement protéger également les machines derrière le routeur. | > Ceci avec shorewall afin de rester partout avec la même application. | > | > En se qui concerne le https, je puis accéder depuis les machines | > derrière le routeur au routeur mais pas depuis le routeur vers les | > machines. Ces machines n'ont pas de firewall pour l'instant. | | On protège les autres machines avec un coupe-feu seul -- c'est le | routeur. Les règles de Shorewall ( /etc/shorewall/rules ) contrôlent les | paquets qui viennent du web au coupe-feu, du coupe_feu aux autres | machines, des autres machines au coupe-feu, etc. Il faut simplement | écrire les bons règles pour faire ce que tu veux, à moins que tu ne | veuilles pas protéger une machine contre une autre derrière le | coupe-feu. | | Par example, pour contrôler les paquets ssh : | | # | # Accept SSH connections between the local network and firewall | # | ACCEPT fw loc tcp 22 | ACCEPT loc fw tcp 22 | # and from the net to the firewall | ACCEPT net fw tcp 22 | | Alors, pour que l'on accède depuis le routeur vers les autres machines | avec https : | | ACCEPT fw loc tcp 443 | ACCEPT fw loc udp 443 | | -- Merci, c'est fait. Le 'ACCEPT net fw' est de trop car l'accès au net se fait à travers une machine qui fait routeur/firewall/proxy. J'ai donc que loc et fw. En ce qui concerne le https ( au fait pour accéder à webmin) j'ai également due faire : ACCEPT loc $FW tcp 10000
cordialement mess-mate -- Delay not, Caesar. Read it instantly. -- Shakespeare, "Julius Caesar" 3,1 Here is a letter, read it at your leisure. -- Shakespeare, "Merchant of Venice" 5,1 [Quoted in "VMS Internals and Data Structures", V4.4, when referring to I/O system services.]