Shorewall: Bona firewall por GNU/Linukso

Shorewall: Firewall de reto f?Cil por GNU/Linukso

#?iam volis scion iptables kaj #?ajni al mi tre dif?Ciles uzi, Por tio, Kiam mi surgi min? La neceso agordi firewall proponas al mi kiun estis la m?#?Iu sed f?Cil por realigi ?in en servilo en linux, La respondo, Shorewall. Iptables Farita F?Cil, Asi estas la publikeco de #?i tiu fajr-rompilo kiu havas tre simplan formon uzi. Iras al vi aense?Ar kiel uzi #?i tiu fajr-rompilon en reto de ?Loka akuzitino.

Por la ekzemploj estas uzonta la sekvan configuraci?N de reto.

shorewall

Instalaci?N

Por instali #?i tiu firewall en Ubuntu la komando #esta?o?Al:

#?Viti apt-get install shorewall

Shorewall agordas sin pere de la dosieroj de configuraci?N lokitaj en /Ktp/shorewall Estu konontaj #?i tiu dosierojn kaj liajn caracter?Sticas.

/Ktp/shorewall/shorewall.Conf

En #?i tiu arkivo agordas sin plura paro?Metroj la sed gravaj estas la sekvaj:

STARTUP_ENABLED

Oni devas meti la valoron en “Ipsilonoj” #A? “Ipsilonoj” Por ke la firewall funkciu

ADMINISABSENTMINDED

#?I tiu variablo se ni agordis ?in en “Ne” #A? “Ne” Establas ke kiam ni haltas la firewall nur oni permesas la @conexi?n al #a? de la @direcci?n kiuj havas metojn en la arkivo /Ktp/shorewall/routestopped. Se #?i tiu agordita en “Ipsilonoj” #A? “Ipsilonoj” Ademas la @conexi?n kiuj estis aktivaj kiam ni arestis la firewall sekvi?N funkciante kaj #?iu @conexi?n kiuj #establi kun #ma?inacii ?in en kiuj agordis shorewall esti?N akceptitaj.

IP_FORWARDING

Establas kiam ni agordis lin en “On” Se la firewall enruta #a? ne la pakoj IPv4 . #?I tiu paro?Metro estas grava por ke la teamoj de la interna reto povas aliri al la ekstero.

Por konsulti la helpon de #?i tiu dosiero.

Man shorewall.Conf

/Ktp/shorewall/zones

En #?i tiu arkivo difinas sin cuantas interfacoj #a? zonoj havas la firewall. #?Iu reto kiun ni volas kunigi pere de la firewall konsideras ?in zono, La unua serioza zono la propra firewal ,Alia serioza zono la LAN, Alia la zono wifi, Alia la DMZ (Zono desmilitarizada por la serviloj) Kaj unu finas al ?i zonon #esta?o?Al interreto.

Ekzemplo de #?i tiu dosiero por ke la firewall konektu reton al interreto, Tri zonoj , Firewall, Lan kaj interreto:

# ZONE TYPE OPTIONS     IN           OUT
#                       OPTIONS     OPTIONS
Fw firewall # Difinas la firewall
Net ipv4 # Difinas interreton WAN
Loc ipv4 # Difinas la reton de ?Loka akuzitino LAN

Por konsulti la helpon de #?i tiu dosiero.

Man shorewall-zones

/Ktp/shorewall/interfacoj

Aqu? Ili #establi la kartojn de reto, Interfacoj, Kiu la firewall iras estas uzi kaj oni atribuas al ili la zonon en kiu ili iras estas esti #?iu de ili. Adem?s oni identigas iujn proprietojn koncerne al la interpretaci?N de la pakoj kiuj eniras #a? eliras por tiu interfaco.

Ekzemplo de #?i tiu dosiero por ke la firewall konektu reton al interreto, Tri zonoj , Firewall, Lan kaj interreto:

#ZONE INTERFACE BROADCAST OPTIONS
Net eth0 detect dhcp,Tcpflags,Routefilter,Nosmurfs,Logmartians,Blacklist 
loc eth1 detect tcpflags,Nosmurfs,Blacklist

Por konsulti la helpon de #?i tiu dosiero.

Man shorewall-interfacoj

/Ktp/shorewall/policy

Aqu? Ili difinas sin la pol?Ticas implicite ke fari kun la pakoj kiuj #voja?i inter la malsamaj zonoj.

La eblaj pol?Ticas estas:

  • ACCEPT: Akceptas sin la conexi?N
  • DROP: Ignoras sin la conexi?N
  • REJECT: Malakceptas sin expl?Citamente la conexi?N
  • QUEUE: Sendi la mendon al aplicaci?N kun la target QUEUE.
  • CONTINUE: Lasi ke la mendo de conexi?N contin?Kaj por sin procesoro por aliaj reguloj.
  • NONE: Akceptas sin ke #?i tiu conexi?N ne povas doni sin kaj ne #generi regulojn #?i-rilate.

Ekzemplo de #?i tiu dosiero por ke la firewall konektu reton al interreto, Tri zonoj , Firewall, Lan kaj interreto:

# Origino destinas pol?Tica loglevel limigas:Rafaga
 Loc net ACCEPT # Permesas #?akri de la loka reto al interreto.
 Net all DROP info # Ignoris la @conexi?n kiuj de interreto volas fari al la loka reto Kaj registris ilin en la log.
 All all REJECT info # Malakceptis iun ajn alian conexi?N kiu ne #?i tiu malplenigo en la supera parto kaj registras ?in.

Por konsulti la helpon de #?i tiu dosiero.

Man shorewall-policy

/Ktp/shorewall/rules

Aqu? ?i difinas sin la malfermo de havenoj. Tambi?N difinas sin la reguloj de DNAT kaj registro de iuj pakoj.

Ekzemplo de #?i tiu dosiero por ke la firewall konektu reton al interreto, Tri zonoj , Firewall, Lan kaj interreto:

# Acci?N Origino Destino Protokolo Puerto Destino Puerto Origino Originala Destino Imposto/Limigas
SSH/ACCEPT lan $FW   # Akceptas @conexi?n ssh de la LAN al la firewall (Sed al vidi kiel agordas lin)
RDP(DNAT) Net loc:192.168.1.23 # Redireccionamos la servico RDP haveno 3389 Al la ip de la LAN 192.168.1.23
ACCEPT $FW loc icmp # Permesas ping de la firewall al la LAN 
ACCEPT $FW net icmp # Permesas ping de la firewall al interreto

Por konsulti la helpon de #?i tiu dosiero.

Man shorewall-rules

/Ktp/shorewall/masq

#?I tiu arkivon oni uzas por difini masquerading kaj SNAT. Agordis la retojn kiuj volas konekti sin al Interreto atraves de firewall.

Ekzemplo de #?i tiu dosiero por ke la firewall permesu al la lan (Eth1) Konekti sin al interreto (Eth0):

# Interfaco Subred Direcci?N Protokolo Havenoj IPSEC
Eth0 eth1

Por konsulti la helpon de #?i tiu dosiero.

Man shorewall-masq

Sed dosieroj de configuraci?N.

  • Hosts: Oni uzas por asocii grupojn de hosts al zono. Estas esenca por difini m?Ltiples zonoj sur interfaco.
  • Blacklist: Iu ajn direcci?N IP #a? blokoj de @direcci?n IP kiu sin al?Adan al #?i tiu arkivo resti?N autom?Ticamente en nigra listo.
  • Tunnels: Oni uzas por agordi autom?Ticamente reguloj de Netfilter por malsamaj tipoj de t?Neles (IPSEC, OpenVPN, Ktp.)
  • Tcrules: Oni uzas por #?ar?i regulojn de tc (Ilo por la configuraci?N de la servoj de traffic shaping de la kernel) De la firewall. Balancas de #?ar?o.
  • Por koni la reston rigardi en /Ktp/shorewall

 

Dosieroj de ekzemplo

Alia granda #avanta?o de la shorewal estas ke ?i havas plurajn dosierojn de ekzemplo kun preconfiguraciones per kiuj nur kun kopii kaj bati en /Ktp/shorewall La dosieroj la firewall funkciulino #?uste.

La dosieroj de ekzemplo estan en la sekva itinero:

 /Usr/share/doc/shorewall-common/examples

Estas tri dosierujoj kun la arkivoj de configuraci?N implicite por la sekvaj kazoj.

  • Interfaco de reto (Sola WAN)
  • Du interfacoj de reto (WAN kaj LAN)
  • Tri interfacoj de bruto (WAN, LAN kaj DMZ)

Copiariamos la arkivoj de la dosierujo en /ktp/shorewall encenderiamos la firewall kaj al funkcii, Sed r?Mi petas kaj f?Cil ne povas esti.

Atendas ke estas al vi util #?i tiu tutorial, Se vi #?ati vin agradeceria kiuj faris +1 En la sociaj retoj por ke ?i atingu sed homoj kiujn faras min ilusi?N. Multaj gracoj por legi la artikas #?is la fino ;).


About Ignacio Alba Obaya

T?Cnico microinform?Tico kaj formador por la posteno. Amanto de la novaj tecnol?Gias. Administra de GNU/Linukso kaj Vindozo.

5 Comments:

  1. Tre bona alportas nun demandas se ?i deziris bloki ip de la reto ke ili ne havas eliron al interreto kiel sera tio kiel lin podria fari

    1. Yo cambiaria la puerta de enlace en esas IP y ya no tienen conexion a internet en shorewall lo puedes hacer en /etc/shorewall/rules añadiendo
      DENY lan:192.168.1.34 net tcp 80

      mete las Ip que te hagan falta o la subred que necesites.

  2. Que tal,

    Y si quisieramos dejar pasar todo el trafico de una ip en particular?, osea por ejemplo un vip, que no quiero que el shorewall lo bloquee en na?.

    Gracias

    1. Por defecto el firewall permite la salida de todas las IPs locales (loc) y por todos los puertos hacia internet (net) ya que se lo indicamos en el archivo /Ktp/shorewall/policy con la entrada Loc net ACCEPT. Si son así los equipos no acceden a todo internet puede ser por que alguna regla en /Ktp/shorewall/rules se lo impide. Si lo que quieres es que desde fuera de la red puedan conectarse a un equipo concreto lo que debes hacer es abrir los puertos o si los quieres todos abiertos pon el equipo en la DMZ. Si ninguna de estas ideas te lo facilita creo que necesito saber mas datos para poder contestarte adecuadamente.

Leave al Reply