shorewall toujours
Bon, j'ai continué mon pârcours du débutant et j'ai modifié les fichiers de conf. ci-joints, ce qui a donné ceci : shorewall restart Processing /etc/shorewall/shorewall.conf ... Processing /etc/shorewall/params ... Restarting Shorewall... Loading Modules... Initializing... Determining Zones... Zones: net loc dmz Validating interfaces file... Validating hosts file... Determining Hosts in Zones... Net Zone: ppp0:0.0.0.0/0 Local Zone: ppp0:0.0.0.0/0 DMZ Zone: ppp0:0.0.0.0/0 Deleting user chains... Configuring Proxy ARP and NAT Adding Common Rules IP Forwarding Enabled Processing /etc/shorewall/tunnels... Processing /etc/shorewall/rules... Rule ACCEPT loc fw tcp ssh added. Rule ACCEPT net fw tcp ssh,auth added. Rule ACCEPT fw net udp ntp added. Adding rules for DHCP Setting up ICMP Echo handling... Processing /etc/shorewall/policy... Policy REJECT for fw to net. Policy ACCEPT for net to fw. Policy REJECT for loc to fw. Policy ACCEPT for loc to net. Policy REJECT for dmz to fw. Masqueraded Subnets and Hosts: Processing /etc/shorewall/tos... Rule all all tcp - ssh 16 added. Rule all all tcp ssh - 16 added. Rule all all tcp - ftp 16 added. Rule all all tcp ftp - 16 added. Rule all all tcp ftp-data - 8 added. Rule all all tcp - ftp-data 8 added. Activating Rules... Shorewall Restarted touch: creating `/var/lock/subsys/shorewall': No such file or directory ça veut dire quoi ce touch ??? Je peux me connecter, j'ai été faire un quick test sur www.pcflank.com , pas de problème avec les troyens, mais il me signale que le port 135 est ouvert , pas bon donc, comment fermer les portes de manière efficace ?? Et aussi un probléme de browser privacy ... Je suppose que la config laisse encore à désirer, je joins mes fichiers de config actuels. Merci pour vos conseils. Merci # # Shorewall 1.2 -- Interfaces File # # /etc/shorewall/interfaces # # You must add an entry in this file for each network interface on your # firewall system. # # Columns are: # # ZONEZone for this interface. Must match the short name # of a zone defined in /etc/shorewall/zones. # # If the interface serves multiple zones that will be # defined in the /etc/shorewall/hosts file, you may # place - in this column. # # INTERFACE Name of interface # # BROADCAST The broadcast address for the subnetwork to which the # interface belongs. For P-T-P interfaces, this # column is left black. # # If you use the special value detect, the firewall # will detect the broadcast address for you. If you # select this option, the interface must be up before # the firewall is started and you must have iproute # installed. # # If you don't want to give a value for this column but # you want to enter a value in the OPTIONS column, enter # - in this column. # # OPTIONS A comma-separated list of options including the # following: # # dhcp - interface is managed by DHCP or used by # a DHCP server running on the firewall. # noping - icmp echo-request (ping) packets should # be ignored on this interface # routestopped - When the firewall is stopped, allow # and route traffic to and from this # interface. # norfc1918- This interface should not receive # any packets whose source is in one # of the ranges reserved by RFC 1918 # (i.e., private or non-routable # addresses. If packet mangling is # enabled in shorewall.conf, packets # whose destination addresses are # reserved by RFC 1918 are also rejected. # multi- This interface has multiple IP # addresses and you want to be able to # route between them. # routefilter - turn on kernel route filtering for this # interface. # dropunclean - Logs and drops mangled/invalid packets # # logunclean - Logs mangled/invalid packets but does #
Re: shorewall toujours
Bon, j'ai continué mon pârcours du débutant et j'ai modifié les fichiers de conf. ci-joints, ce qui a donné ceci : [...] Determining Hosts in Zones... Net Zone: ppp0:0.0.0.0/0 Local Zone: ppp0:0.0.0.0/0 DMZ Zone: ppp0:0.0.0.0/0 !!! Tes trois zones sont sur la même interface (ppp0), avec les mêmes adresses. Je ne vois pas trop comment tu vas pouvoir les distinguer et appliquer des règles efficaces. [...] Processing /etc/shorewall/policy... Règles par défaut curieuses, et qui ne semblent pas correspondre au fichier policy joint Policy REJECT for fw to net. Tu refuses les connexions firewall-internet Policy ACCEPT for net to fw. Mais tu acceptes les connexions internet-firewall Policy REJECT for loc to fw. Par contre, tu ne veux pas que LAN puisse se connecter sur le FW [...] touch: creating `/var/lock/subsys/shorewall': No such file or directory Juste que shorewall a voulu écrire un fichier verrou dans un répertoire qui ne doit pas exister. Juste pour info, c'est le paquet debian que tu as installé ? Sinon, dans le fichier shorewall.conf, tu trouves dans les 1eres lignes cette information: -- # Set this to the name of the lock file expected by your init scripts. For # RedHat, this should be /var/lock/subsys/firewall. On Debian, it # should be /var/state/shorewall. If your init scripts don't use lock files, # set -this to . # LOCKFILE=/var/lock/subsys/shorewall -- Donc, tu sais ce qu'il faut modifier pour ne plus avoir le message ;) Pourqoi ne te sers-tu pas des fichiers disponibles sur le site de shorewall pour configurer ton système ? http://shorewall.rettc.com/pub/shorewall/samples-1.2.2/one- interface.tgz Je peux me connecter, j'ai été faire un quick test sur www.pcflank.com , pas de problème avec les troyens, mais il me signale que le port 135 est ouvert , pas bon donc, comment fermer les portes de manière efficace ?? Compte tenu de joyeux cirque qu'il ya entre tes zones, c'est peut-être normal que tu laisses passer des choses que tu ne souhaites pas ;) Et aussi un probléme de browser privacy ... Je suppose que Ca, ce n'est pas un problème de firewall à proprement parler. Le firewall ne traite pas les flux applicatifs (navigation HTTP). Si tu veux te rendre anonyme dans ta navigation Web, utilise un proxy, modifie le paramétrage de ton navigateur, etc... mais le firewall est OK. Cordialement,Cordialement, -- Philippe Gaudron
