Shorewall : Différence entre versions
De wikiGite
Ligne 1 : | Ligne 1 : | ||
− | Gestion simplifiée de Netfilter (IPTables, filtre de paquets fourni avec noyau linux). | + | Gestion simplifiée de Netfilter (IPTables, filtre de paquets fourni avec le noyau linux). |
Installation sur Debian : | Installation sur Debian : |
Version du 26 avril 2011 à 12:33
Gestion simplifiée de Netfilter (IPTables, filtre de paquets fourni avec le noyau linux).
Installation sur Debian :
apt-get install shorewall
Puis dans /etc/shorewall créer les fichiers :
- zones
#ZONE TYPE OPTIONS IN OUT # OPTIONS OPTIONS fw firewall net ipv4 loc ipv4 drbd ipv4 #dmz ipv4
"fw" désigne la machine elle-même. Relier ces zones à des cartes réseau :
- interfaces
#ZONE INTERFACE BROADCAST OPTIONS net eth1 detect dhcp,routefilter loc eth0 detect drbd eth3 detect #dmz eth2 detect
Ici la carte eth3 est reliée en direct à un autre serveur pour un cluster DRBD. Il n'y a pas de zone DMZ. Indiquer ensuite la politique par défaut de chaque zone :
- policy
#SOURCE DEST POLICY LOG LEVEL LIMIT:BURST loc net ACCEPT fw loc ACCEPT fw net ACCEPT drbd fw ACCEPT net all DROP info all all REJECT info
Il faut se souvenir que les paquets en sortie (de "fw" vers internet ou le réseau local) sont aussi bloqués par défaut. Soit on déclare une politique "ACCEPT" du serveur vers l'extérieur, soit il faudra penser à créer des règles dans les 2 sens si nécessaire.
- rules
#ACTION SOURCE DEST PROTO DEST SOURCE ORIGINAL RATE # PORT(S) PORTS(S) DEST LIMIT ACCEPT net fw tcp 22 - - 1/min:3 ACCEPT net fw tcp 80,443 ACCEPT net fw udp 53 Ping/ACCEPT net fw #Ping/ACCEPT fw net
La première règle limite à une connexion ssh par minute (avec un burst de 3/minute) venant de la même IP (évite les attaques SSH). L'avant-dernière utilise une macro ("Ping") pour éviter d'avoir à gérer les types de paquets de protocoles (icmp 8, 13, etc...). La dernière ligne n'est pas nécessaire puisqu'on a une politique "ACCEPT" du firewall vers l'extérieur.
Relancer shorewall à chaque modification.
/etc/init.d/shorewall restart
Voir l'application sur les iptables
iptables -L