configuration de test ?

[fgilain]

Bonjour, <BR> <BR>J'ai lu dans la doc de shorewall, que l'on pouvait "tester" une configuration en utilisant une syntaxe du style : <BR> <BR>shorewall -c /path_to/testconfig restart <BR> <BR>ainsi, on lui dit d'utiliser les fichiers de configuration situés ici.. <BR> <BR>Par contre, la MNF ne voit pas cette modification et continue à afficher les regles définies dans /etc/shorewall à la place. <BR> <BR>Quelqu'un sait il comment faire pour que l'interface d'admin prenne elle aussi en compte cette modification ? <BR> <BR>J'en ai besoin car je dois préparer un firewall qui devra etre permuté d'une conf à l'autre du jour au lendemain (déménagement en cours...avec equipes modifiées n'ayant plus les meme droits...) <BR> <BR>Si c'est trop compliqué, je pense que je pourrai toujours utiliser un lien symbolique, mais bon, c'était histoire de.. <BR> <BR>Florent

[antarex]

Ce que t'affiche la MNF dans son interface d'admin web ne correspond même pas au fichier de config de shorewall, MNF a son propre fichier de config et c'est ce fichier que l'interface te montre, MNF recréant complètement le fichier de config de Shorewall à chaque modification dans l'interface. <BR> <BR>Cela veut aussi dire que si tu modifies manuellement le fichier de config Shorewall, cela ne se voit pas dans l'interface, et quand tu modifies qqchose depuis l'interface, tes modifications shorewall manuelles sont perdues. <BR> <BR>Le mieux si tu veux tester une config sans sortir de l'interface MNF serait de passer par la fonction backup/restore de sa config je pense.

[fgilain]

Pour info, j'ai fait : <BR> <BR>mkdir /conf_test1 <BR>mkdir /conf_test2 <BR> <BR>cp -R /etc/shorewall /conf_test1/ <BR>cp -R /etc/shorewall /conf_test2/ <BR> <BR>J'ai edité le /conf_test1/rules en virant le ACCEPT Lan Fw 22 <BR> <BR>mv /etc/shorewall /etc/shorewall.old <BR> <BR>cd /etc <BR>ln -s /conf_test1 shorewall <BR> <BR>shorewall clear <BR>shorewall stop <BR>shorewall start <BR> <BR>Et quand je me logue sur l'interface d'admin, je vois toujours les regles par défaut... <BR>C'est à dire l'autorisation de faire su ssh vers mon fw depuis le Lan ! <BR> <BR>Je n'y comprends rien. <BR> <BR>Florent

[jdh]

Les fichiers de config de Shorewall sont dans /etc/shorewall. <BR> <BR>En créant /etc/shorewall-1, en copiant les fichiers d'un répertoire à l'autre suivi d'un shorewall restart, tu devrais pouvoir avoir 2 config indépendament d'une administration web. <BR> <BR>Je pense que Shorewall est conçu pour être configuré au travers des fichiers texte de config (qui comporte de plus des explications en commentaire). Je t'encourage à directement travailler sur /etc/shorewall/rules. <BR> <BR>

[fgilain]

Jdh, <BR> <BR>Tu n'as pas du bien lire ma manipulation, car c'est ce que j'ai fait... <BR> <BR>Ce qui est bizarre au final, c'est que même en utilisant un lien symbolique de manière à toujours avoir ma configuration dans /etc/shorewall, l'interface web d'admin ne voit pas mes modifications appliquées par "VI" dnas le fichier "rules"... <BR> <BR>Florent

[fgilain]

Petite précision : <BR> <BR>Si je fais cat /etc/shorewall/rules, la ligne concernant le ssh du Lan vers le Fw est bien absente, c'est donc bien le fichier de ma /conf_test1 qui est lu. <BR> <BR>Par contre, même apres reboot de la mnf, je peux toujours faire ma connexion ssh de mon lan vers mon fw. <BR> <BR>Si j'utilise la commande shorewall show | more, je trouve une trace de regle disant que le ssh est bien accepted du Lan vers le Fw... <BR> <BR>Mais ou va t'il donc chercher cette règle ? <BR> <BR>A croire que le lien symbolique n'est pas pris en compte et que ne trouvant pas de fichiers de configuration valides, un autre est utilisé pa défaut. <BR> <BR>Si quelqu'un a l'info, je suis preneur ! <BR> <BR>florent

[jdh]

Non je n'avais pas lu ta manip : j'étais en train d'écrire. <BR> <BR>Tu as donc fait ce que je pense qu'il faut faire. <BR> <BR>Je n'ai pas installé la MNF récemment donc je ne connais pas l'interface Web. Je pense qu'il faut plutot travailler sur les fichiers texte. <BR> <BR>Dans ton cas, y aurait-il une regle ACCEPT LAN -> FW directement par exemple dans le fichier "policy". <BR> <BR>Pour contrôler, je tape la ligne "iptables -vn -L" et je vérifie ce qui est fait. <BR>Au besoin, envoie moi le rsultat par message prive <BR>

[svart]

J'ai configuré ma MNF en modifiant manuellement les fichiers /etc/shorewall/rules et /etc/shorewall/policy <BR> <BR>J'ai crée un script qui copie le contenu de /etc/shorewall/* dans un repertoire de sauvegarde pour éviter qu'en cas de mauvaise manip, les fichiers modifiés ne soient perdus. C'est la fonction backup/restore, mais à la main. <BR> <BR>J'avais noté qu'il faut systématiquement faire un shorewall restart pour activer les règles modifiées. <BR> <BR>Quand à un moment, mes modifs n'étaient pas prises en compte par shorewall, j'ai fait un shorewall check qui m'a permis de trouver une ligne mal syntaxée, ce qui arrêtait le chargement des règles (et donc leur application). <BR> <BR>En espérant aider. <BR> <BR>

[fgilain]

Jdh, <BR> <BR>Le fichier /etc/shorewall/policy ne contient que des lignes REJECT ou DROP qui sont celles par défaut de l'installation de la MNF : <BR> <BR>lan all Reject info <BR>dmz all Reject info <BR>fw all Reject info <BR>wan all drop info <BR>all all Reject info <BR> <BR>C'est à dire que l'on autorise que ce qui est explicitement autorisé dans les exceptions (fichier /etc/shorewall/rules) si je ne m'abuse... <BR> <BR>le iptables -vn -L m'affiche bien une regle de type lan2fw ou le dport 22 est accepted ! <BR> <BR>Même chose en utilisant la commande "shorewall show" <BR> <BR>Je ne comprends pas d'où vient cette fichue regle pour le ssh, il n'y a rien dans /etc/shorewall/rules à son propos car je l'ai supprimée du fichier par défaut généré lors de l'installation de la MNF. <BR> <BR>Florent

[fgilain]

Dans la doc officielle de Shorewall, je trouve ceci : <BR> <BR>Si vous voulez enlever toutes traces de Shorewall sur votre configuration de Netfilter, utilisez "shorewall clear". <BR> <BR> <BR>Cela me laisse entendre que peut etre mon probleme vient du fait que shorewall modifie des regles de base deja définies pour netfilter, peut etre faut il donc trouver où sont définies les regles par defaut de netfilter dans la M.N.F...non ? <BR> <BR>Florent

[jdh]

Attention, il faut faire "shorewall restart" pour appliquer les règles. <BR> <BR>Le fait de modifier "rules" ne fait que preparer les règles. <BR> <BR>De fait "shorewall check" permet de réafficher les règles en cours. <BR>

[fgilain]

Voici ce que j'ai effectué comme tests : <BR> <BR>arret de shorewall : <BR>shorewall stop <BR>shorewall clear <BR> <BR>modification d'une des regles de /etc/shorewall/rules en ajoutant une IP source bidon pour le ssh du lan au fw au lieu de tout autoriser du lan vers le fw en ssh. Disons que l'ip autorisée a faire le ssh sur le fw est le 192.168.1.25 alors que mon poste du lan est en 192.168.1.100 <BR> <BR>Redemarrage de shorewall : <BR>shorewall start <BR> <BR>Ma machine du lan (192.168.1.100) n'a plus acces en ssh au fw, donc le fichier /etc/shorewall/rules a bien ete pris en compte. <BR> <BR>Par contre, si je me connecte a l'interface web d'admin, ce n'est pas cette regle qui est affichée : la regle affichee est celle avant restriction à une IP précise. <BR> <BR>C'est a dire : <BR>ACCEPT Lan Fw ssh <BR>au lieu de : <BR>ACCEPT Lan:192.168.1.25 Fw ssh <BR> <BR>Depuis l'interface web, je modifie ma regle "ACCEPT lan fw ssh" en mettant que je restreinds les acces a l'ip 192.168.1.100 <BR> <BR>Apres avoir cliqué sur "Appliquer", je retrouve bien cette modification dans le fichier /etc/shorewall/rules <BR>et l'interface d'admin web m'affiche bien cette limitation elle aussi ! <BR> <BR>Conclusion : <BR> <BR>Si on modifie directement une regle dans /etc/shorewall/rules, et que l'on relance shorewall, cette dernière est belle et bien appliquée, mais l'interface d'admin ne l'affiche pas comme elle est et en affiche une autre (celle par défaut lors de l'installation de la MNF). <BR>L'interface d'admin n'affiche correctement que les regles ajoutees/modifiees ou supprimees par son biais ! <BR> <BR>Assez ennuyeux quand même, non ? <BR> <BR>Florent <BR>

[svart]

C'est pourquoi je n'utilise plus l'interface d'admin QUE pour consulter les journaux, joliment présentés. <BR> <BR>Pour le reste : ssh !

[fgilain]

Salut, <BR> <BR>Je comprends bien, mais quand même, c'est pas top et un peu déroutant... <BR> <BR>Je ne comprends pas pourquoi l'interface graphique ne va pas chercher ses regles là où elles sont définies de base /etc/shorewall/rules au lieu de, apparement ,passer par une etape intermediaire ne prenant pas reellement compte de ce dernier. <BR> <BR>C'est uqand meêm assez source d'erreurs et d'heures perdues a comprendre pourquoi telle ou telle connexion se fait ou ne se fait pas... <BR> <BR>Enfin, maintenant que je le sais, je vais procéder autrement pour pré-configurer mon FW avec 2 conf différentes.. <BR> <BR>Merci et a + pou de nouvelles aventures ! <BR> <BR>Florent

[antarex]

Relis donc ma première réponse à ta question, tout en haut <IMG SRC="images/smiles/icon_smile.gif"> <BR> <BR>MNF a son propre fichier de config, quand tu ouvres l'interface web d'admin c'est uniquement ce fichier de config qui est pris en compte et affiché, et pas du tout ce qui est fait à la main... Siu tu veux modifier à la main, ce seraient les fichiers de config de MNF que tu devrais modifier et non pas ceux de Shorewall... <BR> <BR>Une méthode simple pour accéder à des fonctions difficiles dans l'interfaces (comme par exemple réorganiser les règles) : backup de sa config, modification manuelle du fichier de backup selon tes désirs puis restore. <BR> <BR>