Quelle est la différence entre systemctl stop shorewall et désactiver le pare-feu avec le MCC.
xuo Membre non connecté
-
- Voir le profil du membre xuo
- Inscrit le : 23/10/2011
- Groupes :
J'ai des problèmes pour mettre à jour mes certificats LetsEncrypt.
Je n'ai pas gardé les messages d'erreur mais ce qui est sûr, c'est que le problème vient du pare-feu.
Si je fais :
Code TEXT :
# systemctl stop shorewall
Le problème est toujours là.
Si je désactive le pare-feu en faisant :
Code TEXT :
MCC => Sécurité => Configurer votre pare-feu personnel => Select "Tout (pas de pare-feu)."
alors, cette fois, le renouvellement de mes certificats se passe bien.
Faire :
Code TEXT :
# iptables-save > /tmp/iptables.txt # iptables -F
ne résoud pas non plus le problème.
Savez-vous la différence entre désactiver le pare-feu avec "systemctl stop shorewall" et le faire à partir du MCC ?
Je sais scripter la 1ère technique, pas la seconde.
Merci.
Xuo.
xuo Membre non connecté
-
- Voir le profil du membre xuo
- Inscrit le : 23/10/2011
- Groupes :
Personne n'a d'idée ? Je dis une bêtise ?
Xuo.
nic80 Membre non connecté
-
- Voir le profil du membre nic80
- Inscrit le : 06/08/2018
- Groupes :
-
Modérateur
Le shorewall stop arrête le service shorewall, mais je ne sais pas ce que cela entraine comme modification sur le système (purge des règles ( y compris celles du rules.drakx ?) ?)
Pour comprendre ce que fait le ccm, il faut lire le code perl de drakfirewall et des sous modules qui y sont liés.
De ce que j' avais regardé, il semble aussi y avoir des choses liées à ipset et donc aussi au fichier rules.drakx ( cela étant dit, le shorewall stop doit faire la même chose).
Du coup je ne sais pas trop la différence entre les deux.
Yuusha Membre non connecté
-
- Voir le profil du membre Yuusha
- Inscrit le : 04/07/2017
- Groupes :
-
Modérateur
-
Administrateur
-
Forgeron
xuo :Bonsoir,
Personne n'a d'idée ? Je dis une bêtise ?
Xuo.
Ce n'est pas que l'on ne veut pas répondre, mais ta question est hyper technique. La plupart des gens n'ont simplement pas la réponse. Il faudrait essayer sur le forum anglais ou sur une des listes de diffusion.
xuo Membre non connecté
-
- Voir le profil du membre xuo
- Inscrit le : 23/10/2011
- Groupes :
Pour le forum anglais, je vais essayer.
Sinon, j'ai eu une idée. J'ai activé les journaux système (dans le MCC) avant d'arrêter puis de remettre le pare-feu. Il y a des centaines de lignes mais les plus intéressantes sont :
Arrêt :
10:25:01 drakfirewall[524356]: running: /bin/systemctl disable --no-reload shorewall.service
10:25:01 drakfirewall[524356]: running: /bin/systemctl --no-block stop shorewall.service
10:25:01 drakfirewall[524356]: running: /sbin/shorewall clear
Remise en marche :
10:26:27 drakfirewall[524942]: running: /bin/systemctl enable --no-reload shorewall.service
10:26:27 drakfirewall[524942]: running: /bin/systemctl --quiet is-active shorewall.service
10:26:27 drakfirewall[524942]: running: /bin/systemctl --no-block start shorewall.service
J'ai "l'impression" qu'au lieu de faire juste un "stop", il fait en plus un "disable" et un "clear".
Je pourrais essayer la prochaine fois.
Il faut que je comprenne ce que fait le "clear" car ça m'embête si je perds toutes les ips bannies auparavant par Fail2ban.
Merci pour les réponses en tout cas.
Xuo.
xuo Membre non connecté
-
- Voir le profil du membre xuo
- Inscrit le : 23/10/2011
- Groupes :
Le forum anglais est inutilisable. Il y a une latence de folie, je me fais virer régulièrement et à chaque fois je dois me re-connecter.
J'essayerai demain.
Xuo.
nic80 Membre non connecté
-
- Voir le profil du membre nic80
- Inscrit le : 06/08/2018
- Groupes :
-
Modérateur
https://shorewall.org/starting_and_stopping_shorewall.htm
Visiblement les états de shorewall sont indiqués sur cette page.
edit: du coup le stop ne semble pas enlever toutes les règles actuellement configurées et en garde quelques unes. Seul un clear fait que le system accepte tout.
fail2ban c' est au niveau du serveur web ( ou autre programmes) et non au niveau parefeu, non ?
edit 2 : la page indique
site de shorewall :Starting, Stopping and Clearing
As explained in the Introduction, Shorewall is not something that runs all of the time in your system. Nevertheless, for integrating Shorewall into your initialization scripts it is useful to speak of starting Shorewall and stopping Shorewall.
Shorewall is started using the shorewall start command. Once the start command completes successfully, Netfilter is configured as described in your Shorewall configuration files. If there is an error during shorewall start, then if you have a saved configuration then that configuration is restored. Otherwise, an implicit shorewall stop is executed.
Important
shorewall start is implemented as a compile and go; that is, the configuration is compiled and if there are no compilation errors then the resulting compiled script is executed. If there are compilation errors, the command is aborted and the state of the firewall is not altered.
Shorewall is stopped using the shorewall stop command.
Important
The shorewall stop command does not remove all Netfilter rules and open your firewall for all traffic to pass. It rather places your firewall in a safe state defined by the contents of your /etc/shorewall/stoppedrules file and the setting of ADMINISABSENTMINDED in /etc/shorewall/shorewall.conf.
If you want to remove all Netfilter rules and open your firewall for all traffic to pass, use the shorewall clear command.
Édité par nic80 Le 22/03/2026 à 11h48
xuo Membre non connecté
-
- Voir le profil du membre xuo
- Inscrit le : 23/10/2011
- Groupes :
Merci pour les infos. C'est intéressant.
Citation :fail2ban c' est au niveau du serveur web ( ou autre programmes) et non au niveau parefeu, non ?
Fail2ban utilise (je pense) iptables pour bannir les adresses indésirables.
Shorewall doit jouer également avec iptables pour laisser passer ou bloquer certains ports. Ce qui est certain, c'est que si je désactive le pare-feu à partir du MCC, Letsencrypt arrive à faire son boulot. L'adresse ip est peut-être bannie et je pourrais la "débannir" mais je ne la connait pas.
Il est probable que je pourrais arriver à faire marcher Letsencrypt sans toucher à shorewall, juste en jouant avec iptables mais c'est au-delà de mes compétences.
Je pensais avoir trouvé la solution avec :
Code TEXT :
# iptables-save > /root/iptables.txt # ip6tables-save > /root/ip6tables.txt # iptables -F # ip6tables -F # createLetsEncryptCertificate.csh -run # iptables-restore < /root/iptables.txt # ip6tables-restore < /root/ip6tables.txt
Ca a marché un temps mais plus maintenant.
Xuo.
xuo Membre non connecté
-
- Voir le profil du membre xuo
- Inscrit le : 23/10/2011
- Groupes :
Le Chat m'a donné la liste des adresses ip de LetsEncrypt mais aucune n'est bannie chez moi.
Et d'après ce qu'il m'a expliqué sur iptables, la commande :
Code TEXT :
# iptables -F
devrait faire le travail. C'est encore un mystère. Et en plus, je me demande si ce n'est pas lié à Docker que j'utilise depuis quelques temps. Je ne peux pas dire qu'il y a un lien de cause à effet mais mon script marchait "avant". Il plante depuis l'installation de Docker ? Je ne peux pas l'affirmer et en plus, je ne vois pas le rapport.
Ce qui est sûr, c'est que Docker et Shorewall ne font pas bon ménage. Une fois une image/container installé(e), je dois faire en général :
Code TEXT :
# systemctl stop docker # systemcctl restart shorewall # systemctl start docker.
ou quelque chose d'approchant.
Donc, en résumé :
# systemctl stop shorewall => Only traffic allowed by ACCEPT entries in /etc/shorewall/stoppedrules is passed to/from/through the firewall
=> ce qui était accepté l'est toujours, ce qui était bloqué l'est toujours
=> on ne change plus rien et on reste comme avant
=> C'est ce que je comprends, ce n'est peut-être pas ce qu'il se passe vraiment.
# systemctl clear shorewall => Removes all Shorewall rules, chains, addresses, routes and ARP entries.
=> Tout est autorisé.
Donc :
1) si quelque chose bloquait certbot pour faire son travail, faire "systemctl stop shorewall" ne l'autorisera pas. Est-ce correct ?
2) pourquoi iptables -F ne marche pas ?
Merci.
Xuo.
Répondre
Vous n'êtes pas autorisé à écrire dans cette catégorie