Shorewall: Un buen firewall para GNU/Linux

Shorewall: Fácil Firewall de rede para GNU / Linux

Sempre quixo saber iptables e penso moi difícil de usar, aquí, cando cheguei a necesidade de configurar un cortalumes que eu levantei foi o xeito máis doado de implantar un servidor en linux, resposta, Shorewall. Iptables feito fácil, así está anunciando este firewall que ten un xeito moi sinxelo de usar. Usaremos esta aenseñar firewall como unha rede de área local.

Para exemplos vou usar a seguinte configuración de rede.

shorewall

Instalación

Para instalar este firewall en Ubuntu sería o comando:

sudo apt-get install shorewall

Shorewall está configurado a través de arquivos de configuración situados en /etc / shorewall Nós imos nos atopar estes arquivos e as súas características.

/etc / shorewall / shorewall.conf

Dentro deste arquivo de varios parámetros máis relevantes son definidas son as seguintes:

STARTUP_ENABLED

Pon o valor en “Si” o “si” para a función de firewall

ADMINISABSENTMINDED

Esta variable configuración en “Non” o “non” Afirma que o firewall só cando paramos de conexións de ou para os enderezos que poñemos no arquivo se permiten /etc / shorewall / routestopped. Se establecer o “Si” o “si” tamén as conexións que estaban activos cando o firewall deixou de funcionar e vai todas as conexións establecidas coa máquina en que configurar shorewall serán aceptados.

Ip_forwarding

Define cando configurados en “En” se os paquetes IPv4 firewall ou encamiñadas . Este parámetro é importante para os equipos para acceder á rede interna para o exterior.

Para ver este ficheiro de axuda.

home shorewall.conf

/etc / shorewall / zonas

Neste arquivo poucas áreas definidas as interfaces ou ten o firewall. Cada rede que queremos unir a través do firewall que consideramos unha área, Preto da primeira seria propio firewal ,outra área serio LAN, otra la zona wifi, outra DMZ (DMZ para servidores) ea última área sería internet.

Exemplo deste ficheiro para o firewall para conectar unha rede internet, tres zonas , cortalumes, lan y internet:

# Opcións de Zona escribir OUT
#                       Opcións Opcións
Fw cortalumes # definir el cortalumes
IPv4 net # definir Internet WAN
IPv4 loc # define a rede de área local LAN

Para ver este ficheiro de axuda.

shorewall-zonas home

/etc / shorewall / interfaces

Aquí as tarxetas de rede están definidas, interfaces de, o firewall está indo a usar e dada a área na que teñen que ser cada. Ademais certas propiedades son identificadas en relación á interpretación dos paquetes que entran ou saen por esa interface.

Exemplo deste ficheiro para o firewall para conectar unha rede internet, tres zonas , cortalumes, lan y internet:

#OPCIÓNS ZONE INTERFACE Broadcast
eth0 net detectar DHCP,tcpflags,routefilter,nosmurfs,logmartians,lista negra
loc eth1 detectar tcpflags,nosmurfs,lista negra

Para ver este ficheiro de axuda.

home shorewall-interfaces

/etc / shorewall / Política

Aquí políticas son definidas por defecto para facer os paquetes que viaxan entre distintas zonas.

Políticas posibles son:

  • ADMITE: A conexión é aceptada
  • Gota: A conexión é ignorado
  • Rexeitar: A conexión é explicitamente rexeita
  • FILA: Enviar a solicitude dunha aplicación co obxectivo Queue.
  • CONTINUAR: Permitir a solicitude de conexión para continuar a procesar outras regras son.
  • NONE: Suponse que esta conexión non poida ser xerado e sen regras preto.

Exemplo deste ficheiro para o firewall para conectar unha rede internet, tres zonas , cortalumes, lan y internet:

# destino orixe límite política loglevel:ráfaga
 net loc ACCEPT # permitir o tráfico da rede local para a internet.
 net Información todo gota # Ignoramos as conexións de Internet quere facer á rede local e gravalos no rexistro.
 todo todo Rexeitar información # Rexeitamos calquera conexión que non é traído na parte superior e comprobado.

Para ver este ficheiro de axuda.

home shorewall-política

/etc / shorewall / rules

Portas de apertura aquí definidos. Normas DNAT definir certos paquetes e rexistro.

Exemplo deste ficheiro para o firewall para conectar unha rede internet, tres zonas , cortalumes, lan y internet:

# Protocolo de Acción Source Port Destination Port Destino Destino orixinal Prezo / Límite
SSH / ACCEPT LAN $ FW   # Aceptamos conexións ssh da rede local para o firewall (campá a ver como lo configuran)
RDP(DTA) loc net:192.168.1.23 # servizo redireccionar a porta RDP 3389 o IP LAN 192.168.1.23
ACCEPT $ FW loc ICMP # Nós permitimos ping do firewall para a rede local 
ACCEPT $ FW ICMP net # Ping do firewall permiten Internet

Para ver este ficheiro de axuda.

regras shorewall home

/etc / shorewall / masq

Este ficheiro se usa para definir SNAT e enmascaramento. Nós configurar as redes que quere conectarse á Internet atravesar unha devasa.

Exemplo deste ficheiro para que o firewall permite a LAN (eth1) conectarse a internet (eth0):

# Portas de interface enderezo de sub-IPsec Protocolo
eth0 eth1

Para ver este ficheiro de axuda.

home shorewall-masq

Mas ficheros de configuración.

  • hospedeiros: Usado para asociar grupos de hosts a unha zona. É esencial establecer varias áreas nunha interface.
  • lista negra: Calquera enderezo IP ou bloque de enderezos IP engadidos a este ficheiro será automaticamente lista negra.
  • túneles: El é usado para configurar automaticamente as regras de netfilter para distintos tipos de túneles (IPSEC, OpenVPN, etc)
  • tcrules: Tamén se usa para cargar regras tc (ferramenta para configurar o tráfico do núcleo servizos de modelaxe) do firewall. Balance de carga.
  • Para a mirada no resto /etc / shorewall

 

Arquivos de exemplo

Outra gran vantaxe é que ten varios arquivos de exemplo shorewal con presets en que só copiar e pegar /etc / shorewall os ficheiros de firewall oficiais correcta.

Arquivos de exemplo están no seguinte camiño:

 /usr / share / doc / shorewall-comúns / exemplos

Hai tres cartafoles cos ficheiros de configuración por defecto para o seguinte.

  • Unha interface de rede (solo de WAN)
  • Dos interfaces de red (WAN y LAN)
  • Moi interfaces de res (WAN, LAN y DMZ)

Será que copiar os ficheiros no cartafol / etc / firewall shorewall e realizar encenderiamos, máis rápido e máis fácil non se pode.

Espero que os sea util este tutorial, si os gusta os agradeceria que hicieseis un +1 en redes sociais para chegar a máis xente que eu estou animado. Moitas grazas por ler o artigo ata o final ;).


Sobre Ignacio Alba Obaya

Spanish técnico e adestrador para o emprego. Amante das novas tecnoloxías. Director de GNU / Linux e Windows.

5 Comentarios:

  1. contribución moi boa agora pregúntome se bloquear un IP da rede que non teñen saída internet como que, como o que podería ser feito

  2. Que de,

    E se queremos pasar todo o tráfico dun determinado IP?, Quero dicir, por exemplo, un VIP, Non quero para bloquea-lo no shorewall na?.

    Grazas

    1. Por defecto, o firewall permite a saída de todo IPs locais (lugar) e todas as portas para internet (líquido) sempre que se indica no ficheiro /etc / shorewall / Política coa entrada net loc ACCEPT. Se os equipos son tan non todo o acceso a Internet pode ser que as regras /etc / shorewall / rules que impide. Se o que quere é que desde fóra da rede pode conectarse a un ordenador específico que ten que facer é abrir as portas ou se quere abrir todo puxo o equipo na DMZ. Se ningunha destas ideas é facilitada Coido que teño de saber máis datos para responder correctamente.

Deixar unha resposta