Lire le journal de Shorewall

[svart]

C'est pas que je veux lire le journal par dessus son épaule, mais plutôt que de venir ouvrir un post avec toute ma config dans l'espoir que quelqu'un la corrige, je préfèrerais apprendre à lire le journal de shorewall, histoire de voir où se perdent mes paquets. <BR> <BR>par exemple : <BR>4sep 15 17:53:1000:00:00:03Shorewall:lan2all:REJECT:eth0icmp192.168.0.1-8213.41.78.13webshared-front3.fr.colt.net0- <BR> <BR>Semble vouloir dire que la regle lan2all (dans policy) a été appliquée et a rejeté un paquet provenant de 192.168.0.1 (moi) sur le port 8 vers 213.41.78.13 au port 0(résolu en webshared-front3.fr.colt.net0) <BR> <BR>Me trompe-je ? <BR> <BR>Par contre, cette ligne me laisse perplexe (elle se repete au longueur de journal) <BR> <BR>0:00:00:16Shorewall:man1918:DROP:eth1tcp192.168.0.1-2650192.168.0.6firewall.domeurokapi8443-a--p- <BR> <BR>Ou vais-je trouver man1918 ? Je n'ai pas vu de règles d'exception droppant les paquets...

[Jacques-]

Pour ce qui est du dernier message, cela fait référence à RFC 1918 qui défini l'attribution des adresses IP dans des réseaux privés si je ne m'abuse. <BR>En gros, il a une machine ayant une adresse dans une classe privée (192.168.0.0) sur une iinterface prévue pour une réseau externe. Cette config n'est pas normale et s'apparente à une tentative de spoofing, fournir une adresse du LAN pour se faire passer pour une machine locale alors que l'on vient de l'extérieur. <BR>C'est une option de config de shorewall qui est activée et qui rejette cette trame dans ce cas. <BR> <BR>Pour le premier message, ce que tu déduis me semble juste, les espaces manquant dans le message, les chiffres ne sont pas toujours facile à déchiffrer justement. <BR>En règle générale, les messages sont assez simples, il y a le nom de la règle (wan2fw, lan2fw, etc...), le traitement du paquet, REJECT DROP ACCEPT, l'interface entrante et sortante, l'adresse entrante avec l'adresse MAC éventuelle, le port demandé (en clair ou non) et l'adresse demandée avec son port. <BR> <BR>Jacques

[jdh]

Bravo Jacques ! Juste quelques compléments <BR> <BR>Pour le premier paquet, il s'agit d'un ping = icmp. Le ping (de Lan vers Net) est par défaut interdit. Cela interdit aussi le tracert sous Windows mais pas celui d'unix ! <BR> <BR>Pour le 2me paquet, de fait la chaine "rfc1918" est relative à la rfc du même numéro. Cette règle refuse donc les adresses privées (définies par la rfc 1918) venant de l'interface Net (=externe). Cette règle élimine aussi d'autres adresses non affectées actuellement par l'IANA. <BR> <BR>Pour info, la rfc 1918 indique que l'on doit utiliser dans les réseaux privés les adresses suivantes : <BR> <BR>- 10.x.x.x /8 <BR>- 172.16-31.x.x/16 <BR>- 192.168.0-255.x/24 <BR> <BR>(ou tous sous-réseaux inclus dans ces adresses, bien sur !) <BR>

[svart]

Merci les gars ! <BR> <BR>Hier soir en relisant la doc j'ai eu un spasme, en comprenant que ce mystérieux 1918 faisait référence au RFC1918. <BR> <BR>Cependant je ne comprenais pas pourquoi ce filtrage, et j'ai relu la doc. <BR> <BR>J'ai fait une erreur grave (si,si) en considérant que des tests ne nécessitait pas de modification de mon architecture. Je vais faire bondir les spécialistes qui vont me huer : j'avais branché les interface WAN et LAN sur le même switch ! <BR> <BR>Parait que dans ce cas, Linux peut utiliser n'importe quelle interface, la première contactée. D'où des pertes de connexions de l'interface d'admin ou du routeur. Plus des effets annexes de filtrage idiots. <BR> <BR>Je sais que c'est bête (un firewall en "parrallèle" ne sert à rien") mais que pour des tests ça suffirait. Ben non. <BR> <BR>Pardon. Le ferais plus. <IMG SRC="images/smiles/icon_bawling.gif">