Re: shorewall
On Fri, 2007-06-15 at 10:04 +0200, mess-mate wrote:
> Oliver Elphick <olly@lfix.co.uk> wrote:
> | Le routeur est le coupe-feu qui reçoit tous les paquets de l'internet.
> | Sur le coupe-feu on peut dévier certains paquets à autres machines. On
> | peut dévier les paquets https à une machine derrière la coupe-feu, par
> | example.
> |
> | Il faut expliquer ce que tu veux faire exactement.
> |
> Tout simplement protéger également les machines derrière le routeur.
> Ceci avec shorewall afin de rester partout avec la même application.
>
> En se qui concerne le https, je puis accéder depuis les machines
> derrière le routeur au routeur mais pas depuis le routeur vers les
> machines. Ces machines n'ont pas de firewall pour l'instant.
On protège les autres machines avec un coupe-feu seul -- c'est le
routeur. Les règles de Shorewall ( /etc/shorewall/rules ) contrôlent les
paquets qui viennent du web au coupe-feu, du coupe_feu aux autres
machines, des autres machines au coupe-feu, etc. Il faut simplement
écrire les bons règles pour faire ce que tu veux, à moins que tu ne
veuilles pas protéger une machine contre une autre derrière le
coupe-feu.
Par example, pour contrôler les paquets ssh :
#
# Accept SSH connections between the local network and firewall
#
ACCEPT fw loc tcp 22
ACCEPT loc fw tcp 22
# and from the net to the firewall
ACCEPT net fw tcp 22
Alors, pour que l'on accède depuis le routeur vers les autres machines
avec https :
ACCEPT fw loc tcp 443
ACCEPT fw loc udp 443
--
Oliver Elphick olly@lfix.co.uk
Isle of Wight http://www.lfix.co.uk/oliver
GPG: 1024D/A54310EA 92C8 39E7 280E 3631 3F0E 1EC0 5664 7A2F A543 10EA
========================================
Do you want to know God? http://www.lfix.co.uk/knowing_god.html
Reply to: