Shorewall: Un buen firewall para GNU/Linux

Shorewall: Firewall de xarxa fàcil per a GNU / Linux

Sempre he volgut saber iptables i m'han semblat molt difícils d'utilitzar, per això, quan em va sorgir la necessitat de configurar un tallafocs em plantegi com era el mètode més fàcil per implementar en un servidor en linux, la resposta, Shorewall. Iptables fet fàcil, així és la publicitat d'aquest tallafocs que té una forma molt senzilla d'utilitzar. Us aenseñar com utilitzar aquest tallafocs en una xarxa d'àrea local.

Per als exemples utilitzaré la següent configuració de xarxa.

shorewall

Instal · lació

Per instal · lar aquest firewall en Ubuntu la comanda seria:

sudo apt-get install Shorewall

Shorewall es configura per mitjà dels fitxers de configuració situats a /etc / Shorewall anem a conèixer aquests fitxers i les seves característiques.

/etc / Shorewall / shorewall.conf

Dins d'aquest arxiu es configuren diversos paràmetres els més rellevants són els següents:

STARTUP_ENABLED

Cal posar el valor en “Sí” la “si” perquè el firewall funcioni

ADMINISABSENTMINDED

Aquesta variable si la configurem en “No” la “no” estableix que quan parem el tallafocs només es permeten les connexions cap o des de les adreces que tinguem posades a l'arxiu /etc / Shorewall / routestopped. Si aquesta configurat en “Sí” la “si” a més les connexions que estiguessin actives quan vam aturar el tallafoc seguiran funcionant i totes les connexions que s'estableixin amb la màquina en la qual configurem Shorewall seran acceptades.

Ip_forwarding

Estableix quan ho configurem a “En” si el tallafocs enruta o no els paquets IPv4 . Aquest paràmetre és important perquè els equips de la xarxa interna puguin accedir a l'exterior.

Per consultar l'ajuda d'aquest fitxer.

home shorewall.conf

/etc / Shorewall / zones

En aquest arxiu es defineixen totes les interfícies o zones té el firewall. Cada xarxa que vulguem unir per mitjà del tallafocs la considerem una zona, la primera zona seria el mateix firewal ,altra zona seria la LAN, Una altra wifi zona la, altra la DMZ (zona desmilitaritzada per als servidors) i una l'última zona seria internet.

Exemple d'aquest fitxer per que el tallafocs connecti una xarxa a internet, tres zones , tallafocs, len i internet:

# OPCIONS DE TIPUS DE ZONA DE SORTIDA
#                       OPCIONS OPCIONS
Fw tallafocs # definir el tallafocs
ipv4 net # definir Internet WAN
ipv4 loc # defineix la xarxa d'àrea local LAN

Per consultar l'ajuda d'aquest fitxer.

home Shorewall-zones

/etc / Shorewall / interfaces

Aquí s'estableixen les targetes de xarxa, interfícies d', que el tallafocs va ha utilitzar i se'ls assigna la zona en la qual van ha estar cadascuna d'elles. A més s'identifiquen certes propietats respecte de la interpretació dels paquets que ingressen o surten per aquesta interfície.

Exemple d'aquest fitxer per que el tallafocs connecti una xarxa a internet, tres zones , tallafocs, len i internet:

#OPCIONS ZONA interfície de difusió
eth0 net detectar dhcp,tcpflags,routefilter,nosmurfs,logmartians,llista negra
loc eth1 detectar tcpflags,nosmurfs,llista negra

Per consultar l'ajuda d'aquest fitxer.

home Shorewall-interfícies

/etc / Shorewall / Política

Aquí es defineixen les polítiques per defecte que fer amb els paquets que viatgen entre les diferents zones.

Les possibles polítiques són:

  • ACCEPTAR: S'accepta la connexió
  • DROP: S'ignora la connexió
  • REBUTJAR: Es rebutja explícitament la connexió
  • COLA: Enviar la comanda a una aplicació amb el target QUEUE.
  • CONTINUAR: Deixar que la comanda de connexió continuï per es processador per altres regles.
  • CAP: S'assumeix que aquesta connexió no pot donar-se i no es generen regles al respecte.

Exemple d'aquest fitxer per que el tallafocs connecti una xarxa a internet, tres zones , tallafocs, len i internet:

# origen destí política loglevel limiti:ràfega
 net loc ACCEPT # permetem tràfic de la xarxa local a internet.
 net info tota DROP # Ignorem les connexions que des d'internet vulguin fer a la xarxa local i les vam registrar en el log.
 all all REJECT info # Rebutgem qualsevol altra connexió que no estigui recollida en la part superior i la registrem.

Per consultar l'ajuda d'aquest fitxer.

home Shorewall-política

/etc / Shorewall / rules

Aquí es defineix l'obertura de ports. També es defineixen les regles de DNAT i registre de certs paquets.

Exemple d'aquest fitxer per que el tallafocs connecti una xarxa a internet, tres zones , tallafocs, len i internet:

# Acció Origen Destinació Protocol Port Destinació Port Origen Destinació Original Taxa / Límit
SSH / ACCEPT len $ FW   # Acceptem connexions ssh des de la LAN al tallafocs (campana per veure com configuri)
RDP(DTA) loc net:192.168.1.23 # redireccionem el servico RDP port 3389 a la ip de la LAN 192.168.1.23
ACCEPT $ loc FW icmp # Permetem ping des del tallafocs a la LAN 
ACCEPT $ FW icmp neta # Permetem ping des del tallafocs a internet

Per consultar l'ajuda d'aquest fitxer.

home Shorewall-rules

/etc / Shorewall / masq

Aquest fitxer s'utilitza per definir masquerading i SNAT. Configurem les xarxes que volen connectar-se a Internet atraves d'un firewall.

Exemple d'aquest fitxer per que el tallafocs permeti a la lan (eth1) connectar-se a Internet (eth0):

# Interfície Subxarxa Direcció Protocol Ports IPSEC
eth1 eth0

Per consultar l'ajuda d'aquest fitxer.

home Shorewall-masq

Arxius de configuració Mas.

  • hosts: S'utilitza per associar grups de hosts a una zona. És essencial per definir múltiples zones sobre una interfície.
  • llista negra: Qualsevol adreça IP o blocs d'adreces IP que s'afegeixin a aquesta imatge quedaran automàticament en llista negra.
  • túnels: S'utilitza per configurar regles de Netfilter per a diferents tipus de túnels (IPsec, OpenVPN, etc.)
  • tcrules: S'utilitza per carregar regles de tc (eina per a la configuració dels serveis de traffic shaping del nucli) des del tallafocs. Balanceig de càrrega.
  • Per conèixer la resta mirar /etc / Shorewall

 

Fitxers d'exemple

Una altra gran avantatge del shorewal és que té diversos fitxers d'exemple amb preconfiguracions mitjançant els quals només amb copiar i enganxar en /etc / Shorewall els fitxers el firewall funcionària correctament.

els fitxers d'exemple estan a la següent ruta:

 /usr / share / doc / / Exemples Shorewall comuns

Hi ha tres carpetes amb els arxius de configuració per defecte per als casos.

  • Una interfície de xarxa (solista WAN)
  • Les interfícies de xarxa (WAN i LAN)
  • Interfícies Molt res (WAN, LAN i DMZ)

Copiariamos els arxius de la carpeta / etc / Shorewall encenderiamos el firewall ia funcionar, més ràpid i fàcil no pot ser.

Espero que aquest mar útil tutorial, si t'agraden les féssiu aprecien una +1 a les xarxes socials perquè arribi a més gent que em fa il · lusió. Moltes gràcies per llegir l'article fins al final ;).


Sobre

Tècnic microinformàtic i formador per a l'ocupació. Amant de les noves tecnologies. Administrador de GNU / Linux i Windows.

5 comentarios

  1. molt bona aportació ara pregunto si desitgés bloquejar unes ip de la xarxa que no tinguin sortida a internet com serà això com ho podria fer

    1. Jo canviaria la porta d'enllaç en aquestes IP i ja no tenen connexió a Internet a shorewall ho pots fer a / etc / shorewall / rules afegint
      NEGAR lan:192.168.1.34 tcp net 80

      fica les Ip que et calguin o la subxarxa que necessitis.

  2. Que tal,

    I si volguéssim deixar passar tot el trànsit d'una ip en particular?, o sigui per exemple un vip, que no vull que el shorewall el bloquegi a na?.

    Gràcies

    1. Per defecte el firewall permet la sortida de totes les IPs locals (lloc) i per tots els ports cap a internet (net) ja que l'hi indiquem a l'arxiu /etc / Shorewall / Política amb l'entrada net loc ACCEPT. Si són així els equips no accedeixen a tot internet pot ser per que alguna regla a /etc / Shorewall / rules l'hi impedeix. Si el que vols és que des de fora de la xarxa puguin connectar-se a un equip concret el que has de fer és obrir els ports o si els vols tots oberts posa l'equip a la DMZ. Si cap d'aquestes idees t'ho facilita crec que necessito saber més dades per poder contestar adequadament.

Deixa un comentari