Ubuntu-fr

chimel

essai du parefeu shorewall

Bonjour
La méthode décrite ci-dessous pour la mise en service du parefeu shorewall
est juste donnée pour permettre à ceux qui comme moi
n'y entravent pas grand'chose en matière de protection-parefeu,
mais qui, contraints de désinstaller firstarter
pour arriver à avoir un accès au web
(voir problèmes/freebox non dégroupés)
tiennent (toujours comme moi, pas rano mais ...)
à surfer à l'abri d'un parefeu efficace.

J'ai effectué ces qques bidouillages grâces aux explications fournies
dans ce tuto et dans les liens qu'il donne.
Je me suis contenté de recopier "tel quel"
le contenu des divers fichiers de configuration
nécessaires à shorewall
sans rien y modifier:

1.désinstallation de firestarter via synaptic

2.installation de shorewall-2.2.5 via synaptic

3.création du fichier de configuration interfaces de shorewall par
sudo gedit /etc/shorewall/interfaces
(copier le contenu suivant et enregistrer)

#
# Shorewall 1.3 -- Interfaces File
#
# /etc/shorewall/interfaces
#
#    You must add an entry in this file for each network interface on your
#    firewall system.
#
# Columns are:
#
#    ZONE        Zone for this interface. Must match the short name
#            of a zone defined in /etc/shorewall/zones.
#
#            If the interface serves multiple zones that will be
#            defined in the /etc/shorewall/hosts file, you should
#            place "-" in this column.
#
#    INTERFACE    Name of interface. Each interface may be listed only
#            once in this file. You may NOT specify the name of
#            an alias (e.g., eth0:0) here; see
#
#    BROADCAST    The broadcast address for the subnetwork to which the
#            If you use the special value "detect", the firewall
#            will detect the broadcast address for you. If you
#            select this option, the interface must be up before
#            the firewall is started, you must have iproute
#            installed and the interface must only be associated
#
#    OPTIONS        A comma-separated list of options including the
#            following:
#
##############################################################################
#ZONE     INTERFACE    BROADCAST    OPTIONS
loc    eth0    detect
net    dsl0    detect
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE

4.création du fichier de configuration policy de shorewall par
sudo gedit /etc/shorewall/policy
(copier le contenu suivant et enregistrer)

#
# Shorewall 1.3 -- Policy File
#
# /etc/shorewall/policy
#
#    This file determines what to do with a new connection request if we
#    don't get a match from the /etc/shorewall/rules file or from the
#    /etc/shorewall/common[.def] file. For each source/destination pair, the
#    file is processed in order until a match is found ("all" will match
#    any client or server).
#
# Columns are:
#
#    SOURCE        Source zone. Must be the name of a zone defined
#            in /etc/shorewall/zones, $FW or "all".
#
#    DEST        Destination zone. Must be the name of a zone defined
#            in /etc/shorewall/zones, $FW or "all"
#
#        WARNING: Firewall->Firewall policies are not allowed; if
#             you have a policy where both SOURCE and DEST are $FW,
#             Shorewall will not start!
#
#    POLICY        Policy if no match from the rules file is found. Must
#            be "ACCEPT", "DROP", "REJECT" or "CONTINUE"
#
#    LOG LEVEL    If supplied, each connection handled under the default
#
###############################################################################
#SOURCE        DEST        POLICY        LOG LEVEL    LIMIT:BURST
net    all    DROP                info
$FW    all    ACCEPT    -        #Ici nous pourions mettre DROP et définir ensuite des rêgles
loc    net    ACCEPT    -        #Ici nous pourions mettre DROP et définir ensuite des rêgles
loc    $FW    ACCEPT    -        #Ici nous pourions mettre DROP et définir ensuite des rêgles
loc    loc    ACCEPT    -        #Ici nous pourions mettre DROP et définir ensuite des rêgles
#LAST LINE -- ADD YOUR ENTRIES ABOVE THIS LINE -- DO NOT REMOVE

5.création du fichier de configuration zones de shorewall par
sudo gedit /etc/shorewall/zones
(copier le contenu suivant et enregistrer)

#
# Shorewall 1.3 /etc/shorewall/zones
#
# This file determines your network zones. Columns are:
#
#    ZONE        Short name of the zone
#    DISPLAY        Display name of the zone
#    COMMENTS    Comments about the zone
#
#ZONE    DISPLAY        COMMENTS
net    Net    Internet
loc    Local    Local networks
#LAST LINE - ADD YOUR ENTRIES ABOVE THIS ONE - DO NOT REMOVE

6.création du fichier de configuration rules de shorewall par
sudo gedit /etc/shorewall/rules
(copier le contenu suivant et enregistrer)

##############################################################################
#ACTION  SOURCE        DEST          PROTO    DEST    SOURCE       ORIGINAL
#                                       PORT    PORT(S)    DEST
# DNS
ACCEPT    net    $FW    udp    53    -
ACCEPT    net    $FW    tcp    53    -
# WEB
ACCEPT    net    $FW    tcp    80    -
# WEBS https
ACCEPT    net    $FW    tcp    443    -
# SMTPS
ACCEPT    net    $FW    tcp    995    -
# FTP
ACCEPT    net    $FW    tcp    ftp    -
ACCEPT    net    $FW    tcp    ftp-data    -
# SMTP
ACCEPT    net    $FW    tcp    smtp    -
# POP3
ACCEPT    net    $FW    tcp    pop3    -
# Tous de local vers firewall
ACCEPT    loc    $FW    tcp    -    -
ACCEPT    loc    $FW    udp    -    -
#
# ici les rêgles si dans policy tout est à DROP
#
# Firewall au net : que le web
ACCEPT $FW    tcp    80    -
#
# Local au Firewal : que certain services
ACCEPT loc $FW    tcp    80    -
ACCEPT loc $FW    tcp    25    -
ACCEPT loc $FW    tcp    110    -
ACCEPT loc $FW    tcp    ftp    -
ACCEPT loc $FW    tcp    ftp-data    -
ACCEPT loc $FW    tcp    webmin    -
#
# Local à l'internet : le web et ftp
ACCEPT loc net    tcp 80    -
ACCEPT loc net    tcp ftp    -
ACCEPT loc net    tcp ftp-data    -
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE

7.rendre shorewall opérationnel
en editant
sudo gedit /etc/default/shorewall
mettre:  startup=1

8.lancer shorewall
sudo shorewall start

il vous reste à faire vos tests, pour être rassurés...
Voici les 3 que j'ai faits:
résultat / Shields Up

résultat / HackerWatch

résultat / check.sdv.fr

Par ailleurs, mon accès au web (sur tous les sites)
et tous téléchargements
fonctionnent avec firefox / freebox non dégroupé,
l'envoi et la réception du courrier fonctionne,
et l'envoi sur mes pages perso (ftp) marche aussi.
Le seul point noir (pas grave) c'est le multiposte:
shorewall empêche
MyFreeTV+vlc (sur freebox dégroupé)
de capter les chaînes tv...

---
15j +tard...
---
finalement shorewall ne m'a pas convenu
notamment car la commande pour l'arrêter par ex. (sudo shorewall stop)
semblait être sans aucun effet,
et comme j'ai voulu résoudre le petit problème évoqué ci-dessus
j'ai finalement désinstallé shorewall
pour adopter un parefeu matériel (freebox en mode routeur)
ce qui me permet (via redirections...) de capter les chaînes tv ...
et en tout cas, d'avoir l'impression de mieux contrôler la situation

Dernière modification par chimel (Le 04/04/2006, à 20:24)

licodan

Re : essai du parefeu shorewall

Bonsoir,

je me trouve dans la même situation (freebox + firestarter) et j'ai été contraint de désinstaller firestarter qui me bloque toute navigation.
Mais j'ai pu lire que mon firestarter n'était pas un firewall à proprement parler, seulement une interface graphique facilitant la  configuration d'iptables. J'ai donc fait le test HackerWatch avec ma ubuntu "d'origine" et sans firestarter.
Les ports répértoriés n'était pas complètement sécurisés (couleur orange) avec une conclusion du genre : vous devez avoir un problème avec votre firewall.
J'ai donc efféctué installation et configuration de Shorewall comme décrit par Chimel.
Ensuite j'ai effectué un nouveau test avec un meilleur résultat : tous les ports répértoriés en vert et en conclusion un joli "No open ports were found" : ]

J'ai juste un leger problème avec le point 7 : "rendre shorewall opérationnel au démarrage d'ubuntu en editant sudo gedit /etc/shorewall/shorewall.conf  et en y mettant:  STARTUP_ENABLED=Yes".
Où rajouter cette ligne dans le fichier? au début, à la fin du fichier, dans la rubrique adéquate ou bien est-ce sans importance?

Merci à toi pour l'éfficacité et l'accessibilité de ton tuto ( je suis sous ubuntu -et linux d'ailleurs- depuis une semaine )

chimel

Re : essai du parefeu shorewall

J'ai juste un leger problème avec le point 7 : "rendre shorewall opérationnel au démarrage d'ubuntu en editant sudo gedit /etc/shorewall/shorewall.conf  et en y mettant:  STARTUP_ENABLED=Yes".
Où rajouter cette ligne dans le fichier? au début, à la fin du fichier, dans la rubrique adéquate ou bien est-ce sans importance?

euh... j'crois bien que je me suis mélangé les pinceaux:

j'ai bien lu dans le tuto indiqué au début
qu'il fallait éditer /etc/shorewall/shorewall.conf  de la manière indiquée
mais je crois que je ne l'ai finalement pas fait
en revanche (c'est cela que j'ai effectué en fait)

sudo gedit /etc/default/shorewall
et mettre: startup=1

(mille excuse pour cette confusion => je rectifie le pt.7 sur le premier post)

licodan

Re : essai du parefeu shorewall

[ mini-problème résolu ] Impécable, shorewall désormais actif dès le démarrage sans rien avoir à taper.. : ]  merci!

arvin

Re : essai du parefeu shorewall

Ca a l'air pas mal Shorewall. Moi j'ai adopté cette solution là http://forum.ubuntu-fr.org/viewtopic.php?pid=127224

---

Mon blog pour Linux: http://jujuseb.com

nurdys

Re : essai du parefeu shorewall

comment creer un  acces en remote desktop

merci