Shorewall: Un buen firewall para GNU/Linux

Shorewall: Ușor Firewall rețea pentru GNU / Linux

Mi-am dorit întotdeauna să știe iptables și au constatat că este foarte dificil de utilizat, prin urmare, când am venit nevoia de a configura un firewall care am crescut a fost cel mai simplu mod de a implementa un server de la linux, răspuns, Shorewall. Iptables terminat ușor, astfel încât face publicitate acest firewall, care are un mod foarte simplu de utilizat. Vom folosi acest aenseñar firewall ca o rețea locală.

Pentru exemple, voi folosi următoarea configurație de rețea.

shorewall

Instalare

Pentru a instala acest firewall în Ubuntu ar fi comanda:

sudo apt-get install Shorewall

Shorewall este configurat prin fișiere de configurare situate în /etc / Shorewall Ne vom întâlni aceste fișiere și caracteristicile lor.

/etc / Shorewall / shorewall.conf

În cadrul acestui fișier mai mulți parametri mai relevante sunt stabilite sunt după cum urmează:

STARTUP_ENABLED

Pune valoarea în “Da” o “da” pentru funcția de firewall

ADMINISABSENTMINDED

Această variabilă dacă configurate în “Nu” o “nu” prevede că numai atunci când ne oprim conexiunile firewall la sau de la adresele din fișierul se pune permis /etc / Shorewall / routestopped. În cazul în care este configurat în “Da” o “da” De asemenea, conexiunile care erau active la firewall-ul oprit de lucru și vă va toate conexiunile stabilite cu mașina în care vom configura Shorewall vor fi acceptate.

IP_FORWARDING

Seturi, când este configurat în “Pe” dacă firewall-ul sau rutate pachetele IPv4 . Acest parametru este important pentru echipele să acceseze rețeaua internă spre exterior.

Pentru a vizualiza acest fișier de ajutor.

om shorewall.conf

/etc / Shorewall / zone

În acest fișier câteva domenii definite interfețe sau a firewall-ul. Fiecare rețea vrem să se unească prin intermediul firewall-am considera-o zonă, În apropiere de în primul rând propriile firewal serios ,un alt domeniu grav LAN, otra wifi zona la, un alt DMZ (DMZ pentru servere) și ultima zonă ar fi internet.

Exemplu în acest dosar pentru firewall-ul pentru a conecta o rețea de internet, trei zone , firewall, lan y internet:

# OPȚIUNI ZONE DE TIP ÎN OUT
#                       Opțiunile Opțiuni
Fw firewall # defini el firewall
IPv4 net # defini internet WAN
IPv4 loc # definește rețeaua locală LAN

Pentru a vizualiza acest fișier de ajutor.

Shorewall-zone om

/etc / Shorewall / interfețe

Aici sunt stabilite plăcile de rețea, interfețe, firewall-ul va fi folosit și încadrate la zona în care ei trebuie să fie în fiecare. În plus, anumite proprietăți sunt identificate cu privire la interpretarea pachetele care intră sau ies dintr-o singură interfață.

Exemplu în acest dosar pentru firewall-ul pentru a conecta o rețea de internet, trei zone , firewall, lan y internet:

#OPȚIUNI zonă de interfață BROADCAST
eth0 net detecta DHCP,tcpflags,routefilter,nosmurfs,logmartians,blacklist
loc eth1 detecta tcpflags,nosmurfs,blacklist

Pentru a vizualiza acest fișier de ajutor.

om Shorewall-interfețe

/etc / Shorewall / politică

Aici politici sunt stabilite în mod implicit de a face cu pachete care călătoresc între diferite zone.

Politicile posibile sunt:

  • ACCEPT: Conexiunea este acceptată
  • DROP: Conexiunea este ignorat
  • REJECT: Conexiunea este în mod explicit respinge
  • QUEUE: Trimite cererea la o aplicație cu tinta QUEUE.
  • CONTINUA: Permite cererea de conectare pentru a continua procesarea altor reguli sunt.
  • NONE: Se presupune că această conexiune nu poate fi generat și nici reguli despre.

Exemplu în acest dosar pentru firewall-ul pentru a conecta o rețea de internet, trei zone , firewall, lan y internet:

# limită politică LogLevel destinație origine:Rafaga
 net loc ACCEPT # permite traficul din rețeaua locală la internet.
 net info toate DROP # Ne ignora conexiunile de pe Internet doriți să faceți la rețeaua locală și să le înregistreze în jurnalul de.
 toate toate REJECT informații # Noi respingem orice conexiune care nu sunt colectate în partea de sus și verificate.

Pentru a vizualiza acest fișier de ajutor.

Shorewall-politică om

/etc / Shorewall / reguli

Porturi aici de deschidere definite. Reguli DNAT defini, de asemenea, anumite pachete și înregistrare.

Exemplu în acest dosar pentru firewall-ul pentru a conecta o rețea de internet, trei zone , firewall, lan y internet:

# Acțiune Protocol Sursa portul de destinație portul de destinație inițial cu destinația Tarif / Limit
SSH / ACCEPT lan $ FW   # Se accepta conexiuni ssh de la LAN pentru firewall (clopot pentru a vedea cum vă configurați)
RDP(DTA) loc net:192.168.1.23 # Servico redirecționa portul RDP 3389 IP LAN 192.168.1.23
ACCEPT $ FW loc ICMP # Ne permite ping de la firewall-ul la LAN 
ACCEPT $ FW ICMP net # Ping de la firewall-ul permite Internet

Pentru a vizualiza acest fișier de ajutor.

Shorewall-reguli om

/etc / Shorewall / MASQ

Acest fisier este folosit pentru a defini SNAT și masquerading. Noi configurați rețelele pe care doriți să vă conectați la Internet traversa un firewall.

Exemplu din acest fișier, astfel că firewall-ul permite LAN (eth1) conecta la internet (eth0):

# Porturi de interfață Adresa de subrețea IPSEC Protocolul
eth0 eth1

Pentru a vizualiza acest fișier de ajutor.

om Shorewall-MASQ

Fișiere de configurare mas.

  • gazde: Folosite pentru a asocia grupuri de gazde într-o zonă. Este esențial să se definească mai multe zone de pe o interfață.
  • blacklist: Orice adresa IP sau bloc de adrese IP adăugate la acest dosar va fi pe lista neagră în mod automat.
  • tuneluri: Acesta este utilizat pentru a configura automat reguli netfilter pentru diferite tipuri de tuneluri (IPsec, OpenVPN, etc)
  • tcrules: Este folosit pentru a încărca reguli tc (instrument pentru configurarea kernel-ului de trafic de servicii de modelare) din firewall. Load Balancing.
  • Pentru aspectul de odihnă la /etc / Shorewall

 

Fișiere Exemplu

Un alt mare avantaj este că acesta are mai multe exemple de fișiere shorewal cu presetări în care doar copiați și inserați în /etc / Shorewall fișierele oficiale de paravan de protecție corect.

Fișiere eșantion sunt în calea următoare:

 /usr / share / doc / Shorewall-frecvente / Exemple

Există trei dosare cu fișiere de configurare implicite pentru următoarele.

  • O interfață de rețea (solo WAN)
  • Interfețele de rețea (WAN si LAN)
  • Interfețe foarte res (WAN, LAN y DMZ)

Ar copia fișierele din directorul / etc / Shorewall firewall și a alerga encenderiamos, mai rapidă și mai ușoară nu poate fi.

Sper ca acest mare tutorial util, dacă vă place de hicieseis aprecia o +1 în rețelele sociale pentru a ajunge la mai mulți oameni sunt incantati. Vă mulțumesc foarte mult pentru citit articolul până la sfârșitul anului ;).


Despre Ignacio Alba Obaya

Microcomputer tehnic și antrenor pentru ocuparea forței de muncă. Iubitor de noi tehnologii. Manager de GNU / Linux și Windows.

5 comentarii:

  1. contribuție foarte bine acum mă întreb dacă aș fi vrut să blocheze un ip de rețea fără internet la fel de ieșire, deoarece aceasta ar putea fi realizat

    1. Mi-ar schimba gateway-ul de la aceste IP și nu mai au conexiune la internet în Shorewall o poți face în / etc / Shorewall / norme adaugand
      DENY lan:192.168.1.34 TCP net 80

      Shove ip aveți nevoie sau subrețea aveți nevoie.

  2. Astfel de,

    Și dacă vrem să treacă tot traficul de pe un anumit ip?, Adică, de exemplu, un VIP, Nu vreau Shorewall blocați în na?.

    Mulțumiri

    1. În mod implicit, firewall permite eliminarea tuturor IP-uri locale (loc) și toate porturile de pe internet (net) deoarece indicat în dosarul /etc / Shorewall / politică cu intrarea net loc ACCEPT. Dacă sunteți ca computerele nu acces la Internet toate pot fi orice norme care /etc / Shorewall / reguli previne. Dacă ceea ce vrei este că din afara rețelei se poate conecta la un anumit calculator ce să faci este să își deschidă porturile sau dacă le dorim cu toții deschideți pune computerul în DMZ. În cazul în care nici una dintre aceste idei ceea ce te face să crezi ce trebuie să știți mai multe detalii pentru a vă răspunde în mod corespunzător.

Lasă un Răspuns