Re: shorewall
Oliver Elphick <olly@lfix.co.uk> wrote:
| On Fri, 2007-06-15 at 10:04 +0200, mess-mate wrote:
| > Oliver Elphick <olly@lfix.co.uk> wrote:
| > | Le routeur est le coupe-feu qui reçoit tous les paquets de l'internet.
| > | Sur le coupe-feu on peut dévier certains paquets à autres machines. On
| > | peut dévier les paquets https à une machine derrière la coupe-feu, par
| > | example.
| > |
| > | Il faut expliquer ce que tu veux faire exactement.
| > |
| > Tout simplement protéger également les machines derrière le routeur.
| > Ceci avec shorewall afin de rester partout avec la même application.
| >
| > En se qui concerne le https, je puis accéder depuis les machines
| > derrière le routeur au routeur mais pas depuis le routeur vers les
| > machines. Ces machines n'ont pas de firewall pour l'instant.
|
| On protège les autres machines avec un coupe-feu seul -- c'est le
| routeur. Les règles de Shorewall ( /etc/shorewall/rules ) contrôlent les
| paquets qui viennent du web au coupe-feu, du coupe_feu aux autres
| machines, des autres machines au coupe-feu, etc. Il faut simplement
| écrire les bons règles pour faire ce que tu veux, à moins que tu ne
| veuilles pas protéger une machine contre une autre derrière le
| coupe-feu.
|
| Par example, pour contrôler les paquets ssh :
|
| #
| # Accept SSH connections between the local network and firewall
| #
| ACCEPT fw loc tcp 22
| ACCEPT loc fw tcp 22
| # and from the net to the firewall
| ACCEPT net fw tcp 22
|
| Alors, pour que l'on accède depuis le routeur vers les autres machines
| avec https :
|
| ACCEPT fw loc tcp 443
| ACCEPT fw loc udp 443
|
| --
Merci, c'est fait.
Le 'ACCEPT net fw' est de trop car l'accès au
net se fait à travers une machine qui fait routeur/firewall/proxy.
J'ai donc que loc et fw.
En ce qui concerne le https ( au fait pour accéder à webmin) j'ai
également due faire :
ACCEPT loc $FW tcp 10000
cordialement
mess-mate
--
Delay not, Caesar. Read it instantly.
-- Shakespeare, "Julius Caesar" 3,1
Here is a letter, read it at your leisure.
-- Shakespeare, "Merchant of Venice" 5,1
[Quoted in "VMS Internals and Data Structures", V4.4, when
referring to I/O system services.]
Reply to: