configuration de test ?

Le MNF (Multi Network Firewall) est un des produits pare-feu les plus richement pourvus en fonctionnalités du marché. Il est basé sur un kernel Linux 2.4 sécurisé. Ce forum est également destiné à accueillir tous les posts concernants les distributions Mandriva (anciennement Mandrake)

Modérateur: modos Ixus

Messagepar fgilain » 14 Jan 2004 13:46

Bonjour, <BR> <BR>J'ai lu dans la doc de shorewall, que l'on pouvait "tester" une configuration en utilisant une syntaxe du style : <BR> <BR>shorewall -c /path_to/testconfig restart <BR> <BR>ainsi, on lui dit d'utiliser les fichiers de configuration situés ici.. <BR> <BR>Par contre, la MNF ne voit pas cette modification et continue à afficher les regles définies dans /etc/shorewall à la place. <BR> <BR>Quelqu'un sait il comment faire pour que l'interface d'admin prenne elle aussi en compte cette modification ? <BR> <BR>J'en ai besoin car je dois préparer un firewall qui devra etre permuté d'une conf à l'autre du jour au lendemain (déménagement en cours...avec equipes modifiées n'ayant plus les meme droits...) <BR> <BR>Si c'est trop compliqué, je pense que je pourrai toujours utiliser un lien symbolique, mais bon, c'était histoire de.. <BR> <BR>Florent
Avatar de l’utilisateur
fgilain
Premier-Maître
Premier-Maître
 
Messages: 54
Inscrit le: 19 Nov 2003 01:00

Messagepar antarex » 14 Jan 2004 13:56

Ce que t'affiche la MNF dans son interface d'admin web ne correspond même pas au fichier de config de shorewall, MNF a son propre fichier de config et c'est ce fichier que l'interface te montre, MNF recréant complètement le fichier de config de Shorewall à chaque modification dans l'interface. <BR> <BR>Cela veut aussi dire que si tu modifies manuellement le fichier de config Shorewall, cela ne se voit pas dans l'interface, et quand tu modifies qqchose depuis l'interface, tes modifications shorewall manuelles sont perdues. <BR> <BR>Le mieux si tu veux tester une config sans sortir de l'interface MNF serait de passer par la fonction backup/restore de sa config je pense.
Bien à vous

Stephane
Avatar de l’utilisateur
antarex
Quartier Maître
Quartier Maître
 
Messages: 22
Inscrit le: 11 Oct 2003 00:00

Messagepar fgilain » 14 Jan 2004 14:01

Pour info, j'ai fait : <BR> <BR>mkdir /conf_test1 <BR>mkdir /conf_test2 <BR> <BR>cp -R /etc/shorewall /conf_test1/ <BR>cp -R /etc/shorewall /conf_test2/ <BR> <BR>J'ai edité le /conf_test1/rules en virant le ACCEPT Lan Fw 22 <BR> <BR>mv /etc/shorewall /etc/shorewall.old <BR> <BR>cd /etc <BR>ln -s /conf_test1 shorewall <BR> <BR>shorewall clear <BR>shorewall stop <BR>shorewall start <BR> <BR>Et quand je me logue sur l'interface d'admin, je vois toujours les regles par défaut... <BR>C'est à dire l'autorisation de faire su ssh vers mon fw depuis le Lan ! <BR> <BR>Je n'y comprends rien. <BR> <BR>Florent
Avatar de l’utilisateur
fgilain
Premier-Maître
Premier-Maître
 
Messages: 54
Inscrit le: 19 Nov 2003 01:00

Messagepar jdh » 14 Jan 2004 14:01

Les fichiers de config de Shorewall sont dans /etc/shorewall. <BR> <BR>En créant /etc/shorewall-1, en copiant les fichiers d'un répertoire à l'autre suivi d'un shorewall restart, tu devrais pouvoir avoir 2 config indépendament d'une administration web. <BR> <BR>Je pense que Shorewall est conçu pour être configuré au travers des fichiers texte de config (qui comporte de plus des explications en commentaire). Je t'encourage à directement travailler sur /etc/shorewall/rules. <BR> <BR>
L'intelligence artificielle n'est rien à côté de la stupidité naturelle.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar fgilain » 14 Jan 2004 14:14

Jdh, <BR> <BR>Tu n'as pas du bien lire ma manipulation, car c'est ce que j'ai fait... <BR> <BR>Ce qui est bizarre au final, c'est que même en utilisant un lien symbolique de manière à toujours avoir ma configuration dans /etc/shorewall, l'interface web d'admin ne voit pas mes modifications appliquées par "VI" dnas le fichier "rules"... <BR> <BR>Florent
Avatar de l’utilisateur
fgilain
Premier-Maître
Premier-Maître
 
Messages: 54
Inscrit le: 19 Nov 2003 01:00

Messagepar fgilain » 14 Jan 2004 14:40

Petite précision : <BR> <BR>Si je fais cat /etc/shorewall/rules, la ligne concernant le ssh du Lan vers le Fw est bien absente, c'est donc bien le fichier de ma /conf_test1 qui est lu. <BR> <BR>Par contre, même apres reboot de la mnf, je peux toujours faire ma connexion ssh de mon lan vers mon fw. <BR> <BR>Si j'utilise la commande shorewall show | more, je trouve une trace de regle disant que le ssh est bien accepted du Lan vers le Fw... <BR> <BR>Mais ou va t'il donc chercher cette règle ? <BR> <BR>A croire que le lien symbolique n'est pas pris en compte et que ne trouvant pas de fichiers de configuration valides, un autre est utilisé pa défaut. <BR> <BR>Si quelqu'un a l'info, je suis preneur ! <BR> <BR>florent
Avatar de l’utilisateur
fgilain
Premier-Maître
Premier-Maître
 
Messages: 54
Inscrit le: 19 Nov 2003 01:00

Messagepar jdh » 14 Jan 2004 14:49

Non je n'avais pas lu ta manip : j'étais en train d'écrire. <BR> <BR>Tu as donc fait ce que je pense qu'il faut faire. <BR> <BR>Je n'ai pas installé la MNF récemment donc je ne connais pas l'interface Web. Je pense qu'il faut plutot travailler sur les fichiers texte. <BR> <BR>Dans ton cas, y aurait-il une regle ACCEPT LAN -> FW directement par exemple dans le fichier "policy". <BR> <BR>Pour contrôler, je tape la ligne "iptables -vn -L" et je vérifie ce qui est fait. <BR>Au besoin, envoie moi le rsultat par message prive <BR>
L'intelligence artificielle n'est rien à côté de la stupidité naturelle.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar svart » 14 Jan 2004 15:08

J'ai configuré ma MNF en modifiant manuellement les fichiers /etc/shorewall/rules et /etc/shorewall/policy <BR> <BR>J'ai crée un script qui copie le contenu de /etc/shorewall/* dans un repertoire de sauvegarde pour éviter qu'en cas de mauvaise manip, les fichiers modifiés ne soient perdus. C'est la fonction backup/restore, mais à la main. <BR> <BR>J'avais noté qu'il faut systématiquement faire un shorewall restart pour activer les règles modifiées. <BR> <BR>Quand à un moment, mes modifs n'étaient pas prises en compte par shorewall, j'ai fait un shorewall check qui m'a permis de trouver une ligne mal syntaxée, ce qui arrêtait le chargement des règles (et donc leur application). <BR> <BR>En espérant aider. <BR> <BR>
Si l'on ne fait que ce que l'on sait faire, on n'apprend jamais rien.
Avatar de l’utilisateur
svart
Vice-Amiral
Vice-Amiral
 
Messages: 853
Inscrit le: 04 Sep 2003 00:00
Localisation: Finistère

Messagepar fgilain » 14 Jan 2004 15:30

Jdh, <BR> <BR>Le fichier /etc/shorewall/policy ne contient que des lignes REJECT ou DROP qui sont celles par défaut de l'installation de la MNF : <BR> <BR>lan all Reject info <BR>dmz all Reject info <BR>fw all Reject info <BR>wan all drop info <BR>all all Reject info <BR> <BR>C'est à dire que l'on autorise que ce qui est explicitement autorisé dans les exceptions (fichier /etc/shorewall/rules) si je ne m'abuse... <BR> <BR>le iptables -vn -L m'affiche bien une regle de type lan2fw ou le dport 22 est accepted ! <BR> <BR>Même chose en utilisant la commande "shorewall show" <BR> <BR>Je ne comprends pas d'où vient cette fichue regle pour le ssh, il n'y a rien dans /etc/shorewall/rules à son propos car je l'ai supprimée du fichier par défaut généré lors de l'installation de la MNF. <BR> <BR>Florent
Avatar de l’utilisateur
fgilain
Premier-Maître
Premier-Maître
 
Messages: 54
Inscrit le: 19 Nov 2003 01:00

Messagepar fgilain » 14 Jan 2004 15:33

Dans la doc officielle de Shorewall, je trouve ceci : <BR> <BR>Si vous voulez enlever toutes traces de Shorewall sur votre configuration de Netfilter, utilisez "shorewall clear". <BR> <BR> <BR>Cela me laisse entendre que peut etre mon probleme vient du fait que shorewall modifie des regles de base deja définies pour netfilter, peut etre faut il donc trouver où sont définies les regles par defaut de netfilter dans la M.N.F...non ? <BR> <BR>Florent
Avatar de l’utilisateur
fgilain
Premier-Maître
Premier-Maître
 
Messages: 54
Inscrit le: 19 Nov 2003 01:00

Messagepar jdh » 14 Jan 2004 16:34

Attention, il faut faire "shorewall restart" pour appliquer les règles. <BR> <BR>Le fait de modifier "rules" ne fait que preparer les règles. <BR> <BR>De fait "shorewall check" permet de réafficher les règles en cours. <BR>
L'intelligence artificielle n'est rien à côté de la stupidité naturelle.
Avatar de l’utilisateur
jdh
Amiral
Amiral
 
Messages: 4741
Inscrit le: 29 Déc 2002 01:00
Localisation: Nantes

Messagepar fgilain » 14 Jan 2004 16:56

Voici ce que j'ai effectué comme tests : <BR> <BR>arret de shorewall : <BR>shorewall stop <BR>shorewall clear <BR> <BR>modification d'une des regles de /etc/shorewall/rules en ajoutant une IP source bidon pour le ssh du lan au fw au lieu de tout autoriser du lan vers le fw en ssh. Disons que l'ip autorisée a faire le ssh sur le fw est le 192.168.1.25 alors que mon poste du lan est en 192.168.1.100 <BR> <BR>Redemarrage de shorewall : <BR>shorewall start <BR> <BR>Ma machine du lan (192.168.1.100) n'a plus acces en ssh au fw, donc le fichier /etc/shorewall/rules a bien ete pris en compte. <BR> <BR>Par contre, si je me connecte a l'interface web d'admin, ce n'est pas cette regle qui est affichée : la regle affichee est celle avant restriction à une IP précise. <BR> <BR>C'est a dire : <BR>ACCEPT Lan Fw ssh <BR>au lieu de : <BR>ACCEPT Lan:192.168.1.25 Fw ssh <BR> <BR>Depuis l'interface web, je modifie ma regle "ACCEPT lan fw ssh" en mettant que je restreinds les acces a l'ip 192.168.1.100 <BR> <BR>Apres avoir cliqué sur "Appliquer", je retrouve bien cette modification dans le fichier /etc/shorewall/rules <BR>et l'interface d'admin web m'affiche bien cette limitation elle aussi ! <BR> <BR>Conclusion : <BR> <BR>Si on modifie directement une regle dans /etc/shorewall/rules, et que l'on relance shorewall, cette dernière est belle et bien appliquée, mais l'interface d'admin ne l'affiche pas comme elle est et en affiche une autre (celle par défaut lors de l'installation de la MNF). <BR>L'interface d'admin n'affiche correctement que les regles ajoutees/modifiees ou supprimees par son biais ! <BR> <BR>Assez ennuyeux quand même, non ? <BR> <BR>Florent <BR>
Avatar de l’utilisateur
fgilain
Premier-Maître
Premier-Maître
 
Messages: 54
Inscrit le: 19 Nov 2003 01:00

Messagepar svart » 14 Jan 2004 17:03

C'est pourquoi je n'utilise plus l'interface d'admin QUE pour consulter les journaux, joliment présentés. <BR> <BR>Pour le reste : ssh !
Si l'on ne fait que ce que l'on sait faire, on n'apprend jamais rien.
Avatar de l’utilisateur
svart
Vice-Amiral
Vice-Amiral
 
Messages: 853
Inscrit le: 04 Sep 2003 00:00
Localisation: Finistère

Messagepar fgilain » 14 Jan 2004 17:25

Salut, <BR> <BR>Je comprends bien, mais quand même, c'est pas top et un peu déroutant... <BR> <BR>Je ne comprends pas pourquoi l'interface graphique ne va pas chercher ses regles là où elles sont définies de base /etc/shorewall/rules au lieu de, apparement ,passer par une etape intermediaire ne prenant pas reellement compte de ce dernier. <BR> <BR>C'est uqand meêm assez source d'erreurs et d'heures perdues a comprendre pourquoi telle ou telle connexion se fait ou ne se fait pas... <BR> <BR>Enfin, maintenant que je le sais, je vais procéder autrement pour pré-configurer mon FW avec 2 conf différentes.. <BR> <BR>Merci et a + pou de nouvelles aventures ! <BR> <BR>Florent
Avatar de l’utilisateur
fgilain
Premier-Maître
Premier-Maître
 
Messages: 54
Inscrit le: 19 Nov 2003 01:00

Messagepar antarex » 15 Jan 2004 00:08

Relis donc ma première réponse à ta question, tout en haut <IMG SRC="images/smiles/icon_smile.gif"> <BR> <BR>MNF a son propre fichier de config, quand tu ouvres l'interface web d'admin c'est uniquement ce fichier de config qui est pris en compte et affiché, et pas du tout ce qui est fait à la main... Siu tu veux modifier à la main, ce seraient les fichiers de config de MNF que tu devrais modifier et non pas ceux de Shorewall... <BR> <BR>Une méthode simple pour accéder à des fonctions difficiles dans l'interfaces (comme par exemple réorganiser les règles) : backup de sa config, modification manuelle du fichier de backup selon tes désirs puis restore. <BR> <BR>
Bien à vous

Stephane
Avatar de l’utilisateur
antarex
Quartier Maître
Quartier Maître
 
Messages: 22
Inscrit le: 11 Oct 2003 00:00

Suivant

Retour vers Mandriva MNF & SNF

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité