URL: https://linuxfr.org/news/less-suitable-for-work-lsfw-list-firewall Title: less suitable for work (lsfw) : list firewall Authors: Patrick Lamaizière Nÿco, Nils Ratusznik et NeoX Date: 2012年02月08日T10:55:44+01:00 Tags: Score: 37 L'outil _lsfw_ (« _list firewall_ ») permet de lister les règles de pare-feux appliquées entre deux points d'un réseau. Le but est d'aider les administrateurs réseaux à répondre aux questions existentielles : « quelles sont les règles entre ces deux points ? », ou « pourquoi ça passe [pas] ? ». Ce qui n'est pas forcément trivial sur un gros réseau avec plein de règles et plusieurs routeurs/pare-feu sur le chemin. _NdM : merci à Patrick Lamaizière pour son journal._ ---- [Journal à l'origine de la dépêche](http://linuxfr.org/users/plamaiziere/journaux/less-suitable-for-work-lsfw) [Site internet de lsfw](https://listes.cru.fr/wiki/jtacl/index) [Documentation](https://listes.cru.fr/wiki/jtacl/index) ---- L'outil interprète la configuration des équipements et émule le comportement (au niveau IP) du filtrage et du routage pour permettre de lister les règles. À ce jour, il interprète les règles de routeur Cisco, de pare-feu Cisco PIX/module FWSM et de Packet Filter (version OpenBSD>= 4.7) avec quelques limitations (voir la doc pour les limitations). Sur une [configuration d'exemple](https://2011.jres.org/archives/108/index.htm), je veux savoir quelles sont les règles appliquées avec une IP source 1.2.3.4 vers une IP 192.168.0.2, via le protocole TCP, ayant un port source dynamique (comprendre : supérieur à 49152) et comme port destination HTTP. La requête est : ```text lsfw> probe on R1|10.0.3.1 1.2.3.4 192.168.0.2 tcp dyn:http ############################### -------- Routed probes -------- Path: On: R1 (cisco router #1) FastEthernet1/0 (internet) interface IP: 10.0.3.1 network: 10.0.3.0/24 FastEthernet1/1 (INTERNAL) interface IP: 10.0.1.254 network: 10.0.1.0/24 nexthop: 10.0.1.1 On: P1 (firewall #1) em0 (em0) interface IP: 10.0.1.1 network: 10.0.1.0/24 em1 (em1) interface IP: 192.168.0.254 network: 192.168.0.0/24 nexthop: 192.168.0.0/24 ------ R1 (cisco router #1) Matching ACL on input: FastEthernet1/0 (internet) ACCEPT r1-conf #34: [INTERNET_IN] permit ip any any DENY [INTERNET_IN] *** implicit deny *** Matching ACL on output: FastEthernet1/1 (INTERNAL) ACCEPT r1-conf #69: [INTERNAL_OUT] permit ip any any DENY [INTERNAL_OUT] *** implicit deny *** ------ P1 (firewall #1) Matching ACL on input: em0 (em0) DENY ./conf/pf.conf #26: block all ACCEPT ./conf/pf.conf #33: pass proto tcp from any to 192.168.0.2 port { http, https } Matching ACL on output: em1 (em1) DENY ./conf/pf.conf #26: block all ACCEPT ./conf/pf.conf #33: pass proto tcp from any to 192.168.0.2 port { http, https } ----------------- Global ACL result is: ACCEPT Global routing result is: ROUTED` ``` L'outil affiche le chemin, puis les règles qui matchent et enfin un diagnostic si ça passe ou non (sachant que plus la requète est précise plus la réponse l'est) Actuellement, je travaille plutôt coté références croisées et suite de tests (pour nos besoins internes). Pour finir, l'outil est beaucoup utilisé au boulot. Ce qui fait qu'il est maintenu par rapport à notre config (et je ne promet rien pour les autres config, je ferais au mieux). Je m'en suis aussi pas mal servi pour convertir des règles Cisco vers du bon Packet Filter, en contrôlant le résultat avec des tests de non régression.

AltStyle によって変換されたページ (->オリジナル) /