par jdh » 16 Oct 2006 13:59
Concernant Shorewall, les fichiers importants sont : (Debian vers. 2.2.3 à adapter ...)
- /etc/shorewall/interfaces : définit le nom associé à chaque interface ainsi que quelques options :
#ZONE INTERFACE BROADCAST OPTIONS GATEWAY
net ppp0 detect norfc1918,routefilter,tcpflags
lan eth1 detect tcpflags
(net=ppp0=PPPOE et lan=eth1)
- /etc/shorewall/policy : règles par défaut (très important !!)
#SOURCE DEST POLICY LOG LIMIT:BURST
net all DROP
lan all REJECT
(net=DROP=refus sans message d'erreur et lan=refus avec message d'erreur)
- /etc/shorewall/masq : normalement le réseau interne est "masqueradé"
#INTERFACE SUBNET ADDRESS PROTO PORT(S) IPSEC
ppp0 eth1
- /etc/shorewall/shorewall.conf : ajuster la variable IP_FORWARD (préférable indeed !)
#IP_FORWARDING=Keep
IP_FORWARDING=On
- /etc/shorewall/rules : les règles (le plus important !)
#ACTION SOURCE DEST PROTO DEST SOURCE ORIGINAL RATE USER/GRP
# fw -> net : ping,dns,ntp,http,ftp,ssh,smtp,pop3
ACCEPT fw net icmp 8 # ping
ACCEPT fw net udp 33434:33534 # udp traceroute
ACCEPT fw net udp domain,ntp
ACCEPT fw net tcp domain,http,https,ftp,ssh,smtp,pop3
# net -> fw : ping,ssh,https
ACCEPT net fw icmp 8
ACCEPT net fw tcp ssh - - 2/min:2
ACCEPT net fw tcp https
#ACCEPT net fw tcp smtp
# lan -> fw : ping,dns,ssh,squid
ACCEPT lan fw icmp 8
ACCEPT lan fw udp domain,ntp
ACCEPT lan fw tcp ssh
ACCEPT lan fw tcp domain,pop3,imap,smtp,imap,3128,http,https
Surtout pas d'erreurs : dans policy : lan all REJECT et non ACCEPT !! (comme pour un IPCOP de base = sans BOT)
A noter que le plus important conseil c'est de regrouper (# fw -> net ....)
A noter la ligne "tcp ssh - - 2/min:2" qui limite à 2 accès ssh par minute (+ burst 2) : très important pour éviter les essais en force brute.
Tout ceci à adapter à la version de Shorewall (v3 légèrement différente de v2, I presume !)
