Help

Associer une Zone à une interface réseau.

Pour chaque interface Ethernet, au moins une zone doit y être associée. On peut associer plusieurs zones à une interface réseau par les zones "host". Ce formulaire permet donc configurer les options associées aux interfaces.

Interface ID: Cette valeur numérique sera utilisée partout pour identifier l'interface. Il est recommandé de ne pas modifier les valeurs proposées par défaut.
Zone: Dans le menu déroulant, choisissez la zone que vous voulez assigner à cette interface. La zone spéciale "-" signifie que plusieurs zones "host" seront associées à cette interface.
Interface: Choisissez l'interface à configurer dans le menu déroulant. Si vous ne retrouver par l'interface désirée, c'est qu'il faut d'abord la déclarer dans la section "System setup".
Broadcast: L'adresse de diffusion pour le sous-réseau relié à l'interface. Cette valeur doit rester vide pour les interfaces P-T-P (ppp*, ippp*); si vous devez spécifier une valeur, entrez "-" dans ce champ. Si vous indiquer "detect", le coupe-feu déterminera automatiquement l'adresse de diffusion.
options: Neuf options de configurations avancées de l'interface. Voir le tableau suivant:

Voici quelques informations supplémentaires sur les options disponibles. Réviser-les biens puisque pour certaines interfaces, certaines options sont fortement recommandées.

dhcp L'interface se verra assignée une adresse IP automatiquement pas un serveur DHCP. Le mur coupe feu sera configuré pour permettre le trafic entrant et sortant de cette interface, même s'il est arrêté.
noping Les requêtes ICMP echo-request (ping) seront ignorées par cette interface.
routestopped Lorsque le coupe feu est arrêté, le trafic entrant et sortant de cette interface sera accepté et la redirection ("routing") permise entre les interfaces "routestopped".
norfc1918 Les paquets arrivant sur cette interface et qui ont comme source ou destination des adresses réservées dans le RFC 1918 (adresse de réseau privée) seront tracés ("logged") et abandonnés. Cette option est généralement activée pour les interfaces Internet.
routefilter Cette option invoque les fonctionnalités de filtre de redirection du noyau. Celui-ci rejettera tout paquet entrant avec une adresse source redirigeable vers l'extérieur par une autre interface réseau. ATTENTION: si vous spécifiez cette options pour une interface, il faudra alors que celle-ci soit mise en fonction avant le coupe-feu.
multi L'interface a plusieurs adresses et vous voulez permette la redirection entre celle-ci. Par exemple: vous avez deux adresses sur eth1, la première dans le sous-réseau 192.168.1.0/2 et l'autre dans 192.168.2.0/2 et vous voulez permettre la redirection entre ces réseaux. Parce que vous avez seulement une interface dans la zone locale, Shorewall ne créera pas normalement de règle pour rediriger entre eth1 et eth1. En ajoutant "multi" à l'entrée de eth1, Shorewall créera la chaîne "loc2loc" dans l'entrée de eth1 et les règles de redirection appropriée.
dropunclean Les paquets de cette interface sélectionné par "unclean" de IPtables seront tracés (logged) et abandonnés.
logunclean Similaire à la précédente, les paquets sélectionné par "unclean" seront tracés (logged), mais ne seront pas abandonnés.
blacklist Cette option a pour effet de faire valider les paquets entrant contre un fichier "blacklist". Voir la sous-section blacklist.

Par exemple, selon notre exemple de serveur web, nous allons indiquer que la zone "www" est attribuée au sous-réseau branché à l'interface "eth3".

Zone: www
Interface: eth3
Broadcast: detect