Shorewall: Un buen firewall para GNU/Linux

Shorewall: Easy Network Firewall für GNU / Linux

Ich wollte schon immer wissen, iptables und haben es sehr schwer zu bedienen, daher, als ich die Notwendigkeit, eine Firewall, die ich aufgeworfen wurde, war die einfachste Möglichkeit, einen Server auf Linux einsetzen konfigurieren, Antwort, Shorewall. Iptables done leicht, so ist die Werbung diese Firewall, die eine sehr einfache Art und Weise zu bedienen hat. Wir werden diese Firewall aenseñar wie ein lokales Netzwerk verwenden.

Beispiele werde ich die folgenden Netzwerkkonfiguration verwenden.

shorewall

Installation

Um diese Firewall in Ubuntu installieren würde der Befehl sein:

sudo apt-get install shorewall

Shorewall wird über Konfigurationsdateien befinden konfiguriert /etc / shorewall Wir werden diese Dateien und ihre Eigenschaften erfüllen.

/etc / shorewall / shorewall.conf

In dieser Datei mehrere weitere relevante Parameter wie folgt eingestellt sind:

STARTUP_ENABLED

Setzen Sie den Wert in “Ja” die “ja” für die Firewall-Funktion

ADMINISABSENTMINDED

Diese Variable konfiguriert, wenn in “Nicht” die “nicht” Staaten, die nur dann, wenn wir aufhören, die Firewall-Verbindungen zu oder von den Adressen in der Datei legen Sie sie erlaubt /etc / shorewall / routestopped. Wenn im konfiguriert “Ja” die “ja” auch die Verbindungen, die aktiv waren, wenn die Firewall aufgehört zu arbeiten, und Sie werden alle Verbindungen mit der Maschine, in der wir shorewall konfigurieren etabliert werden akzeptiert.

Ip_forwarding

Legt wenn in konfiguriert “Auf” wenn die Firewall oder weitergeleitet IPv4-Pakete . Dieser Parameter ist wichtig für die Teams, um das interne Netzwerk nach außen zugreifen.

Um diese Hilfe-Datei anzeigen.

Mann shorewall.conf

/etc / shorewall / Zonen

In dieser Datei werden einige Bereiche definierte Schnittstellen oder hat die Firewall. Jedes Netzwerk, das wir durch die Firewall betrachten wir eine Fläche vereinen wollen, In der Nähe der ersten ernsthaften firewal eigenen ,ein weiterer ernsthafter Bereich LAN, la otra zona wifi, ein weiterer DMZ (DMZ für Server) und der letzte Bereich sein würde Internet.

Beispiel der Datei für die Firewall, ein Netzwerk Internet verbinden, drei Zonen , Firewall, lan y Internet:

# ZONE TYPE OPTIONEN IN OUT
#                       OPTIONEN OPTIONEN
Fw Firewall # definieren el Firewall
Netto ipv4 # Internet-WAN definieren
loc ipv4 # definiert das lokale Netzwerk LAN

Um diese Hilfe-Datei anzeigen.

Mann shorewall-Zonen

/etc / shorewall / interfaces

Hier werden die Netzwerkkarten eingestellt sind, Schnittstellen, Die Firewall wird verwendet und das Gebiet, in dem sie zu jedem sein, zugeordnet werden. Darüber hinaus werden bestimmte Eigenschaften auf die Interpretation der Pakete Betreten oder Verlassen einer einzigen Schnittstelle identifiziert.

Beispiel der Datei für die Firewall, ein Netzwerk Internet verbinden, drei Zonen , Firewall, lan y Internet:

#ZONE INTERFACE Broadcast-Optionen
net erkennen dhcp eth0,tcpflags,route,nosmurfs,logmartians,Blacklist
loc eth1 tcpflags erkennen,nosmurfs,Blacklist

Um diese Hilfe-Datei anzeigen.

Mann shorewall-Schnittstellen

/etc / shorewall / policy

Hier Richtlinien werden standardmäßig auf Pakete mit Reisen zwischen verschiedenen Bereichen zu tun.

Mögliche Maßnahmen sind:

  • ACCEPT: Die Verbindung wird akzeptiert
  • DROP: Die Verbindung wird ignoriert
  • REJECT: Die Verbindung ist ausdrücklich ablehnt
  • QUEUE: Schicken Sie die Anfrage an eine Anwendung mit dem Ziel QUEUE.
  • WEITER: Lassen Sie die Verbindungsanfrage weiterverarbeiten anderen Regeln sind.
  • NONE: Es wird angenommen, dass diese Verbindung nicht erzeugt werden kann und keine Regeln.

Beispiel der Datei für die Firewall, ein Netzwerk Internet verbinden, drei Zonen , Firewall, lan y Internet:

# Herkunft Ziel Loglevel Politik Grenze:rafaga
 loc Netto ACCEPT # ermöglichen Verkehr aus dem lokalen Netzwerk zum Internet.
 net alle DROP info # Wir ignorieren die Verbindungen aus dem Internet wollen, um das lokale Netzwerk zu tun und sie im Protokoll.
 alle alle REJECT info # Wir weisen jede Verbindung, die nicht an der Spitze gesammelt und überprüft.

Um diese Hilfe-Datei anzeigen.

Mann shorewall-Politik

/etc / shorewall / rules

Hier Öffnen von Ports definiert. DNAT-Regeln bestimmte Pakete und Anmeldung definieren auch.

Beispiel der Datei für die Firewall, ein Netzwerk Internet verbinden, drei Zonen , Firewall, lan y Internet:

# Action-Protokoll Source Port Destination Port Reiseziel Reiseziel Original-Rate-/ Grenz
SSH / lan ACCEPT $ FW   # Wir akzeptieren ssh-Verbindungen aus dem LAN auf die Firewall (Glocke zu sehen, wie Sie eingerichtet)
RDP(DTA) net loc:192.168.1.23 # servico leiten Sie den RDP-Port 3389 die LAN-IP 192.168.1.23
ACCEPT $ FW loc icmp # Wir erlauben ping von der Firewall in das LAN 
ACCEPT $ FW net icmp # Ping von der Firewall erlauben Internet

Um diese Hilfe-Datei anzeigen.

Mann shorewall-Regeln

/etc / shorewall / masq

Diese Datei wird verwendet, um zu definieren SNAT und Masquerading. Wir konfigurieren die Netzwerke, auf die sie mit dem Internet verbinden wollen, durchlaufen eine Firewall.

Beispiel für diese Datei, so dass die Firewall das LAN- (eth1) Verbindung mit dem Internet (eth0):

# Schnittstellenanschlüsse Adresse Subnet IPSEC Protokoll
eth0 eth1

Um diese Hilfe-Datei anzeigen.

Mann shorewall-masq

Mas Konfigurationsdateien.

  • Gastgeber: Wird verwendet, um Gruppen von Hosts zu einem Bereich zuordnen. Es ist wichtig, mehrere Bereiche auf einer Schnittstelle definieren.
  • Blacklist: Jede IP-Adresse oder der IP-Adressen zu dieser Datei hinzugefügt wird automatisch Blacklist sein.
  • Tunnel: Es wird verwendet, um Netfilter-Regeln automatisch zu konfigurieren, für verschiedene Arten von Tunneln (IPsec, OpenVPN, usw.)
  • tcrules: Wird verwendet, um Regeln tc laden (Tool für die Konfiguration Traffic Shaping Dienstleistungen Kernel) von der Firewall. Load Balancing.
  • Für den Rest Blick auf /etc / shorewall

 

Beispieldateien

Ein weiterer großer Vorteil ist, dass es mehrere shorewal Beispiel Dateien mit Voreinstellungen, wobei nur kopieren und in /etc / shorewall die offiziellen Dateien korrekt Firewall.

Beispieldateien sind in den folgenden Pfad:

 /usr / share / doc / shorewall-common / examples

Es gibt drei Ordner mit den Standardkonfigurationsdateien für die folgenden.

  • Eine Netzwerkschnittstelle (Solo-WAN)
  • Die Netzwerkschnittstellen (WAN-LAN-y)
  • Sehr Schnittstellen res (WAN, LAN y DMZ)

Möchten Sie die Dateien in den Ordner / etc / shorewall Firewall kopieren und ausführen encenderiamos, schneller und einfacher kann nicht.

Ich hoffe, dieses Tutorial nützlich Meer, Wenn Sie wie die hicieseis schätzen ein +1 in sozialen Netzwerken, um mehr Menschen zu erreichen Ich bin begeistert. Vielen Dank für das Lesen der Artikel bis zum Ende ;).


Über Ignacio Alba Obaya

Microcomputer und technische Ausbildung für Beschäftigung. Liebhaber von neuen Technologien. -Manager GNU / Linux und Windows.

5 Kommentare:

  1. sehr guter Beitrag jetzt frage, ob ich eine IP des Netzwerk ohne Internet als Ausgang zu blockieren, wie es getan werden könnte

    1. Ich würde die Gateway-IP in diese zu ändern und Internet-Anschluss in Shorewall können es in / etc / shorewall / rules tun Zugabe nicht mehr
      DENY lan:192.168.1.34 net tcp 80

      IP-Stücke brauchen Sie oder Subnetz müssen.

  2. Dass eine solche,

    Und wenn wir den gesamten Datenverkehr von einer bestimmten IP weitergeben wollen?, Ich meine zum Beispiel ein VIP, Ich will nicht, um es in der Shorewall na blockieren?.

    Dank

    1. Standardmäßig ist die Firewall ermöglicht die Entfernung aller lokalen IPs (Lage) und alle Ports zum Internet (netto) wie es in der Datei angegebenen /etc / shorewall / policy mit der Eingabe loc Netto ACCEPT. Wenn Sie wie die Teams haben keinen Zugang zum Internet kann alles, einige Regel sein /etc / shorewall / rules sie verhindert, dass. Wenn das, was Sie wollen, ist, dass von außerhalb des Netzwerks auf einen bestimmten Computer zu verbinden, was zu tun ist, die Ports öffnen, oder wenn Sie wollen, dass alle offen, um den Computer in die DMZ gesetzt. Wenn keine dieser Ideen so einfach Ich glaube, ich brauche mehr Informationen kennen, um Sie richtig zu beantworten.

Lassen Sie eine Antwort