[Admin-ml] Gateway

Olivier DUCROT odlists at easymac.fr
Mer 7 Oct 11:02:01 CEST 2009


Je suis pointilleux, mais ce n'est pas exactement cela. IPFW est un outil
pour gérer les règles du firewall. Il n'y a pas de fichier de configuration
directement accessible avec les règles à l'intérieur.

On peut voir la liste des règles avec server admin GUI ou CLI
ou avec la commande "sudo ipfw list" qui donne qqc comme ça :

meursault:~ root# ipfw list
Par défaut, à la sortie du carton, les règles sont :

00001 allow udp from any 626 to any dst-port 626
01000 allow ip from any to any via lo0
01010 deny ip from any to 127.0.0.0/8
01020 deny ip from 224.0.0.0/4 to any in
01030 deny tcp from any to 224.0.0.0/4 in
12300 allow tcp from any to any established
12301 allow tcp from any to any out
12302 allow tcp from any to any dst-port 22
12302 allow udp from any to any dst-port 22
12303 allow udp from any to any out keep-state
12304 allow tcp from any to any dst-port 53 out keep-state
12304 allow udp from any to any dst-port 53 out keep-state
12305 allow udp from any to any in frag
12306 allow tcp from any to any dst-port 311
12307 allow tcp from any to any dst-port 625
12308 allow icmp from any to any icmptypes 8
12309 allow icmp from any to any icmptypes 0
12310 allow igmp from any to any
65534 deny ip from any to any
65535 allow ip from any to any

Les règles 12xxx sont importantes, il faut notamment penser à laisser passer
les requpetes DHCP sur les ports 67 & 68, mais aussi DNS. Il est fort
préférable de mettre un serveur DNS sur la passerelle pour répondre aux
requêtes du LAN.

La règle 12300 est importante. Ici elle accepte tout le trafic. Par défaut,
c'est l'inverse, 

Personnellement, je te conseille de le faire d'abord avec le GUI.

Par défaut quand tu actives le Firewall, il n'y a pas grand chose d'ouvert,
c'est peut-être simplement là ton soucis. Un bonne méthode consiste à
activer la journalisation du firewall et à regarder le fichier de log en
direct pendant les tentatives de connexion des utilisateurs du LAN.

tail -f /var/log/ipfw.log

Tu auras des choses comme ceci :

meursault:~ root# tail -f /var/log/ipfw.log
Oct  5 15:20:38 meursault ipfw[130]:  1050 Accept TCP 192.168.16.112:54886
10.0.1.247:993 in via en1
Oct  5 15:20:38 meursault ipfw[130]:  1050 Accept TCP 192.168.16.112:54885
10.0.1.247:993 in via en1
Oct  5 15:20:38 meursault ipfw[130]:  1050 Accept TCP 192.168.16.112:54884
10.0.1.247:993 in via en1

--
Méthode rapide : tout ouvert !

1- active DHCP sur le port en1 et distribue une plage d'adresses différente
de celle de en0
2- active Firewall et modifie les groupes d'adresses pour qu'ils
correspondent à ta configuration, par défaut il y a 10.0- et 192.168-, il
faut changer les plages à l'intérieur et pour améliorer la compréhension,
changer les noms des groupes en WAN et LAN respectivement.
3- dans le firewall, autorise tout le trafic pour tous les groupes
d'adresses concernés : any, WAN et LAN
4- active le NAT en mode NAT (pas seuelement IP forwarding)
5- active le service DNS et contente toi de configurer les forwarders vers
ceux de ton FAI
6- mets un poste sur le réseau LAN en DHCP, il surfe, tout simplement

--
Then : affine  les règles du Firewall à ta convenance.
--

le 07/10/09 08:10, fcombernous at kezia.com à fcombernous at kezia.com a écrit :

> Il me semble bien avoir vu que l'assistant ajoute des régles ipfw.
> 
> Où sont les fichiers de conf des régles ipfw qui sont rajouté par
> l'assistant ?
> 

La théorie, c¹est quand on sait tout mais que rien ne marche
La pratique, c¹est quand tout marche mais qu¹on ne sait pas pas pourquoi
Et l¹informatique, c¹est l¹union de la théorie et de la pratique : rien ne
marche et on sait pas pourquoi

         _________________________________________________________
         |                                                       |  
         |                                                       |  
      / )|                    Olivier DUCROT                     |( \
     / / |               ACSP, ACTC & ACSA 10.5                  | \ \
   _( (_ |                                                       | _) )_
  (((\ \>|_/->_______________________________________________<-\_|</ /)))
  (\\\\ \_/ /                                                 \ \_/ ////)
   \       /                                                   \       /
    \    _/                -----====+====------                 \_    /
    /   /                                                        \   \  
  






Plus d'informations sur la liste de diffusion Admin-ml