Les fichiers de configuration

Localisé dans le dossier /etc/firewall.d/conf, ces fichiers serviront à générer les .sh contenant les ordres iptables.

Les noms suivant sont réservés et ne peuvent pas servir de nom de machine : forward, masquerade, module, network, policy, redirect, route_redirect, trusted.

Directive

policy local|forward|eth DROP|ACCEPT

Détermine le comportent par défaut du filtrage. Le premier argument précise les échanges réseaux concernés :

• local : pour les échanges réseau restants sur la machine (utilisation de localhost)
• forward : pour les échanges réseau routés par le firewall
• eth : pour les dialogues transitant par les interfaces réseau vers les processus tournant sur le firewall

Le second argument indique la stratégie adoptée :

• DROP : les paquets non traités explicitement seront rejetés par le firewall
• ACCEPT : le firewall laissera passer les paquets non traités par les autres règles

module "module_iptable"

Le "module_iptable" sera chargé grâce à modprobe lors de l'exécution du script.

forward 0|1

Active le routage si "1" est utilisé, le désactive si c'est "0".

masquerade interface

Active la masquerade sur l'interface précisée en argument.

redirect ethx port tcp|udp R_serv R_port

Le firewall transférera les messages adressés sur le port "port" avec le protocole tcp ou udp arrivant sur l'interface "ethx" vers le service identifié par le port "R_port" sur le serveur de nom "R_serv".

trusted source destination

Tout le trafic entre "source" et "destination" pourra passer. "source" et "destination" peuvent être le nom d'une interface réseau, ou le nom d'un machine contenu dans /etc/hosts.

route_redirect ethx

Dans le cas où le firewall ne connaît pas la route pour le destinataire du paquet, le paquet sera renvoyé vers l'interface "ethx". Cela permet de re-router les paquets vers la passerelle par défaut du firewall, qui est sur le même réseau que l'interface "ethx".

source destination port tcp|udp

C'est la ligne qui devrait être la plus présente dans une configuration, elle permet de préciser une règle autorisée : les paquets d'ouverture de connexion émis par "source" vers "destination sur le port "port" avec le protocole tcp ou udp passeront et seront suivi par le firewall.

"source" et "destination" pourront être soit des noms de machines (contenu dans /etc/hosts), des noms d'interfaces (local, eth0 ou eth1) ou les noms des réseaux (précisés lors de la configuration).

Directives internes

Normalement générées automatiquement, mais elles permettent de dépasser le comportement par défaut de ce produit.

network interface nom adresse

Peut permettre d'ajouter une troisième interface qui serait utilisées dans les fichiers de config. Attention, la gestion des statistiques graphiques ne prendra pas en compte cette interface.

Les arguments de cette directive :

• interface : eth(x)
• nom : nom pour l'adresse
• adresse : adresse du réseau sous la forme a.b.c.d/taille_masque

Exemple de configuration

Dans le menu de gauche, des exemples de configuration :

• internet : pour un petit réseau local avec firewall dédié.
• maison : pour un petit réseau local familial