Perte des regles du rc.firewall.local

[neolinux]

Bonjour,

J'ai installé un ipcop 1.4.11 avec 4 reseaux. J'ai deux reseau locaux qui ne doivent pas communiquer entre eux mais acceder tous deux a internet. J'ai donc utilisé les reseau GREEN et BLUE pour ces deux reseau locaux.

Pour autoriser tout le reseau blue a acceder a interet et interdire le green a acceder au blue, ne voyant vraiment pas comment faire vie l'interface web, j'ai ecrit deux regles dans /etc/rc.d/rc.firewall.local et tout marche bien au boot du firewall.

Cependant aujourd'hui apres qu'un admin ait rajouté des regles via l'interface web, mes regles spécifiques avaient disparus comme si l'interface relancait completement la prise en compte des differentes regles sans se soucier du contenu de rc.firewall.local.

Mes questions sont donc: ai-je bien analysé le probleme? et y a t'il une soution pour péréniser les regles qui se trouve dans le fichier local, ou y a t'il un autre endroit ou ecrire ces regles?

Merci.

[m2nis]

et y a t'il une soution pour péréniser les regles qui se trouve dans le fichier local, ou y a t'il un autre endroit ou ecrire ces regles?

A ma connaissance, le fichier local a justement vocation à ne pas être écrasé... Maintenant, pour écrire des règles via l'interface web, il y a l'excellente (l'indispensable?) Block Out Traffic (BOT). Après m'être perfectionné avec le fichier local, j'ai fini par l'adopter et je ne peux que la recommander. Seul soucis potentiel: les extensions ne sont pas intégrées dans les sauvegardes.

[Franck78]

Salut,

Publie ton rc.firewall.local

Un certain nombre de chaines prédéfinies existe pour son usage et il si te prend l'idée de modifier une chaine qui n'est pas 'a toi[le script]', rien ne garantit qu'elle ne sera pas recalculée par le GUI.

Jette juste un coup d'oeil à rc.firewall et tu découvriras les 'CUSTOM*' que tu as deviner, il faut utiliser


bye

[neolinux]

Voici le contenu du rc.firewall.local.

D'apres Michael, c'est bien le bon endroit pour ecrire ce type de regles, et d'apres ce que je comprend de Franck, il vaut mieux que je mette mes deux regles dans CUSTOMFORWARD plutot que FORWARD/WIRELESSFORWARD qui sont ecrasees par le GUI.

J'ai tout bon ?

--------------------------------------------------------------------

Code: Tout sélectionner

#!/bin/sh
# Used for private firewall rules

case "$1" in
  start)
        ## add your 'start' rules here

        ## Prevent GREEN lan to access to BLUE lan
        /sbin/iptables -I FORWARD 1 -s 192.168.20.0/24 -d 10.0.0.0/24 -j REJECT

        ## Authorize Access from BLUE lan to the internet
        /sbin/iptables -I WIRELESSFORWARD 1 -s 10.0.0.0/24 -i eth1 -o ! eth0 -d 0.0.0.0/0 -j ACCEPT

        ;;
  stop)
        ## add your 'stop' rules here
        ;;
  reload)
        $0 stop
        $0 start
        ## add your 'reload' rules here
        ;;
  *)
        echo "Usage: $0 {start|stop|reload}"
        ;;
esac