Shorewall: Un buen firewall para GNU/Linux

Shorewall: Erraza Network Firewall GNU / Linux

Nik beti nahi izan iptables ezagutu eta aurkitu erabiltzea oso zaila da, hortik datorkio, denean beharra firewall bat planteatu nuen linux zerbitzari bat zabaldu modurik errazena konfiguratzeko etorri nintzen, erantzun, Shorewall. Iptables done erraza, beraz suebaki hau da erabiltzeko oso modu sinple bat du publizitatea da. Firewall aenseñar hau erabiliko dugu sare lokal gisa.

Adibide honako sareko konfigurazioa erabiliko dut.

shorewall

Instalazioa

Suebaki hau instalatzeko Ubuntun komandoa izango litzateke:

sudo apt-get install shorewall

Shorewall dago kokatua konfigurazio fitxategiak bidez konfiguratuta /etc / shorewall Fitxategi horiek eta horien ezaugarriak bilduko dugu.

/etc / shorewall / shorewall.conf

Fitxategi honen barruan hainbat parametro garrantzitsuagoak ezarri dira honako hauek dira:

STARTUP_ENABLED

Jarri balioan izandako “Bai” du “bai” suebakiaren funtzioa

ADMINISABSENTMINDED

Aldagai honetan konfiguratuta badago “Ez” du “no” estatu hori bakarrik denean firewall edo helbide egindako konexioak gelditzeko dugun fitxategian jarri onartzen /etc / shorewall / routestopped. Da konfiguratuta badago “Bai” du “bai” ere aktibo zeuden denean suebakia gelditu lan eta makina zein shorewall konfiguratzeko dugu izango duzu ezarritako konexio guztiak konexioak onartuko dira.

IP_FORWARDING

Denean konfiguratuta ezartzen “On” bada suebaki edo bideratzen IPv4 pakete . Parametro hori garrantzitsua da milaka taldeen barne-sarea sartzeko kanpora.

Laguntza Fitxategi hau baloratu.

Gizon shorewall.conf

/etc / shorewall / zonaldea

Fitxategi honetan arlo batzuk zehaztutako interfaces edo suebakia ditu. Sare bakoitzean suebakia eremu bat aintzat hartzen badugu bidez elkartu nahi dugu, Lehen egin firewal larriak gertu ,beste area larriak LAN, otra la zona wifi, beste DMZ (DMZ zerbitzariak) eta azken area internet izango litzateke.

Fitxategi hau firewall egiteko adibidea sare internet bat konektatu, hiru eremuetan , firewall, lan eta internet:

# ZONE MOTA OPTIONS OUT IN
#                       OPTIONS OPTIONS
Fw firewall # define el firewall
ipv4 net # define internet WAN
lok ipv4 # definituko diren tokiko sarea LAN

Laguntza Fitxategi hau baloratu.

Gizon shorewall-zonetan

/etc / shorewall / interfaces

Hemen sare txartelak ezarri dira, interfaces, suebakia da erabiltzea, eta area horretan, bakoitzak izan behar dute esleitutako joan. Horrez gain, propietate jakin paketetan sartu edo irten, interfaze bakar baten interpretazio burutuko da.

Fitxategi hau firewall egiteko adibidea sare internet bat konektatu, hiru eremuetan , firewall, lan eta internet:

#ZONE INTERFACE BROADCAST OPTIONS
eth0 garbia detektatzen dhcp,tcpflags,routefilter,nosmurfs,logmartians,blacklist
lok eth1 tcpflags detektatzeko,nosmurfs,blacklist

Laguntza Fitxategi hau baloratu.

Gizon shorewall-interfazeak

/etc / shorewall / politika

Hemen politikak dira paketetan arlo ezberdinen artean bidaiatzen zerikusirik lehenetsita ezarri.

Politikak posibleak:

  • ONARTZEN: Konexioa onartu da
  • DROP: Konexioa ez da kontuan hartuko
  • Uko egin: Konexioa da esplizituki arbuiatu
  • QUEUE: Bidali eskaera Aplikazio batera QUEUE xede duen.
  • JARRAITU: Onartu konexio eskaera beste arau prozesatzerakoan jarraitzeko dira.
  • NONE: Lotura hori ezin da sortzen dela onartuta dago eta buruzko arauak ez.

Fitxategi hau firewall egiteko adibidea sare internet bat konektatu, hiru eremuetan , firewall, lan eta internet:

# jatorri helmuga LogLevel politika muga:Rafaga
 lok net ONARTZEN # baimendu trafiko tokiko saretik interneterako.
 net DROP guztiak info # Ez ikusi genuen Internetetik konexioak, tokiko sarea egin eta horiek grabatzeko erregistroan nahi.
 guztiak all Ukatu info # Hori ez da goialdean bildu eta egiaztatu edozein konexio ukatzen dugu.

Laguntza Fitxategi hau baloratu.

Gizon shorewall-politika

/etc / shorewall / arauak

Definitu hemen irekitzeko portuak. DNAT arauak ere zenbait pakete eta erregistroa definitzeko.

Fitxategi hau firewall egiteko adibidea sare internet bat konektatu, hiru eremuetan , firewall, lan eta internet:

# Ekintza Protokoloa Iturria Port Helmuga Port Helmuga Helmuga Original Tasa / Mugatu
SSH / ONARTZEN lan $ AU   # Ssh LAN konexioak onartzen dugu suebakia izateko (Kanpai nola ezarri duzun ikusteko)
RDP(DTA) lok net:192.168.1.23 # servico redirect RDP portuan 3389 LAN IP 192.168.1.23
ONARTZEN $ AU loc ICMP # Ping baimendu sare lokalera firewall bidez antzematen dugu 
ONARTZEN $ FW ICMP net # Ping suebakia dizute Internet

Laguntza Fitxategi hau baloratu.

Gizon shorewall-arauak

/etc / shorewall / masq

Fitxategi hau SNAT definitzeko erabiltzen da eta masquerading. Internetera konektatu nahi duzun sareak zeharkatzeko suebaki bat konfiguratzeko dugu.

Artxibo hau adibidea da, beraz suebakia aukera ematen du lan (eth1) internetera konektatzeko (eth0):

# Interfaze Portuen Helbidea Azpisare IPsec Protokoloa
eth0 eth1

Laguntza Fitxategi hau baloratu.

Gizon shorewall-masq

Mas konfigurazio fitxategiak.

  • ostalarien: Ostalarien taldeek lotzeko eremu bat erabiltzen. Ezinbestekoa da interfaze batean arlo anitz definitzeko.
  • blacklist: Edozein IP helbide edo bloke IP helbideak fitxategi hau gehitu du automatikoki zerrenda beltza izango da.
  • tunelak: Da automatikoki konfiguratzeko Netfilter arauak tunel mota ezberdinak egiteko erabiltzen da (IPsec, OpenVPN, eta abar)
  • tcrules: Arauak tc kargatzeko erabiltzen da (trafikoa konformazio zerbitzuak kernela konfiguratzeko tresna) suebakia etik. Karga orekatzeko.
  • Gainerako begirada egiteko /etc / shorewall

 

Adibidez fitxategiak

Beste abantaila handia da zenbait shorewal Adibidez aurrezarpenak Horren bidez bakarrik kopiatu eta itsatsi batekin fitxategiak duela /etc / shorewall fitxategiak ofizial egokian suebaki.

Sample fitxategiak honako bide daude:

 /usr / share / doc / shorewall-common / adibide

Badira konfigurazio fitxategiak dituen hiru karpetak jarraituz.

  • Sareko interfaze bat (bakarkako WAN)
  • Sare interfazeak (WAN y LAN)
  • Oso interfaces res (WAN, LAN y DMZ)

Fitxategiak kopiatu litzateke karpeta / etc / shorewall firewall eta encenderiamos exekutatu, azkarragoa eta errazagoa ezin da.

Tutorial itsaso hau erabilgarria izatea espero dut, nahi izanez gero hicieseis eskertzen bat +1 sare sozialak jende gehiago iristeko hunkituta nago. Eskerrik asko artikulu irakurtzen amaierara arte egiteko ;).


Buruz Ignacio Alba Obaya

Mikroordenagailu Teknikoa eta Entrenatzaile enplegurako. Teknologia berrien maitalea. Kudeatzaile GNU / Linux eta Windows.

5 iruzkinak:

    1. pasagunea aldatuko nuke IP horietan, eta jada internet shorewall konexioa egin dezakezu / etc / shorewall / arauak ere gehitzen dute
      UKATU lan:192.168.1.34 tcp net 80

      Ip shoves egin behar duzun edo azpisare behar duzu.

  1. besteak beste,,

    Eta trafikoaren guztiak gainditzeko IP jakin batetik nahi badugu?, Esan adibidez VIP bat dut, Ez dut nahi blokeatzeko shorewall batean na?.

    Esker

    1. Berez, firewall tokiko IPak guztien irteera ahalbidetzen (leku) eta internet portu guztiak (net) adierazitako fitxategiak geroztik /etc / shorewall / politika sarrera lok net ONARTZEN. Zara ordenagailuak bezala bada ez sartzeko internet guztiak izango duten edozein arau /etc / shorewall / arauak eragozten. zer nahi duzu bada sare kanpotik duten ordenagailu zehatz bat egin behar duzu konektatu ahal izango da portuak irekitzeko edo nahi izanez gero guztiak ireki ordenagailuan jarri DMZ. Bada ideia horietako bat ere ez da hain erraza dela uste dut datu gehiago behar bezala erantzun ahal izateko jakin behar dut.

Utzi erantzuna