Shorewall: Firewall de xarxa fàcil per a GNU / Linux
Sempre he volgut saber iptables i m'han semblat molt difícils d'utilitzar, per això, quan em va sorgir la necessitat de configurar un tallafocs em plantegi com era el mètode més fàcil per implementar en un servidor en linux, la resposta, Shorewall. Iptables fet fàcil, així és la publicitat d'aquest tallafocs que té una forma molt senzilla d'utilitzar. Us aenseñar com utilitzar aquest tallafocs en una xarxa d'àrea local.
Per als exemples utilitzaré la següent configuració de xarxa.
Instal · lació
Per instal · lar aquest firewall en Ubuntu la comanda seria:
sudo apt-get install Shorewall
Shorewall es configura per mitjà dels fitxers de configuració situats a /etc / Shorewall anem a conèixer aquests fitxers i les seves característiques.
/etc / Shorewall / shorewall.conf
Dins d'aquest arxiu es configuren diversos paràmetres els més rellevants són els següents:
STARTUP_ENABLED
Cal posar el valor en “Sí” la “si” perquè el firewall funcioni
ADMINISABSENTMINDED
Aquesta variable si la configurem en “No” la “no” estableix que quan parem el tallafocs només es permeten les connexions cap o des de les adreces que tinguem posades a l'arxiu /etc / Shorewall / routestopped. Si aquesta configurat en “Sí” la “si” a més les connexions que estiguessin actives quan vam aturar el tallafoc seguiran funcionant i totes les connexions que s'estableixin amb la màquina en la qual configurem Shorewall seran acceptades.
Ip_forwarding
Estableix quan ho configurem a “En” si el tallafocs enruta o no els paquets IPv4 . Aquest paràmetre és important perquè els equips de la xarxa interna puguin accedir a l'exterior.
Per consultar l'ajuda d'aquest fitxer.
home shorewall.conf
/etc / Shorewall / zones
En aquest arxiu es defineixen totes les interfícies o zones té el firewall. Cada xarxa que vulguem unir per mitjà del tallafocs la considerem una zona, la primera zona seria el mateix firewal ,altra zona seria la LAN, Una altra wifi zona la, altra la DMZ (zona desmilitaritzada per als servidors) i una l'última zona seria internet.
Exemple d'aquest fitxer per que el tallafocs connecti una xarxa a internet, tres zones , tallafocs, len i internet:
# OPCIONS DE TIPUS DE ZONA DE SORTIDA # OPCIONS OPCIONS Fw tallafocs # definir el tallafocs ipv4 net # definir Internet WAN ipv4 loc # defineix la xarxa d'àrea local LAN
Per consultar l'ajuda d'aquest fitxer.
home Shorewall-zones
/etc / Shorewall / interfaces
Aquí s'estableixen les targetes de xarxa, interfícies d', que el tallafocs va ha utilitzar i se'ls assigna la zona en la qual van ha estar cadascuna d'elles. A més s'identifiquen certes propietats respecte de la interpretació dels paquets que ingressen o surten per aquesta interfície.
Exemple d'aquest fitxer per que el tallafocs connecti una xarxa a internet, tres zones , tallafocs, len i internet:
#OPCIONS ZONA interfície de difusió eth0 net detectar dhcp,tcpflags,routefilter,nosmurfs,logmartians,llista negra loc eth1 detectar tcpflags,nosmurfs,llista negra
Per consultar l'ajuda d'aquest fitxer.
home Shorewall-interfícies
/etc / Shorewall / Política
Aquí es defineixen les polítiques per defecte que fer amb els paquets que viatgen entre les diferents zones.
Les possibles polítiques són:
- ACCEPTAR: S'accepta la connexió
- DROP: S'ignora la connexió
- REBUTJAR: Es rebutja explícitament la connexió
- COLA: Enviar la comanda a una aplicació amb el target QUEUE.
- CONTINUAR: Deixar que la comanda de connexió continuï per es processador per altres regles.
- CAP: S'assumeix que aquesta connexió no pot donar-se i no es generen regles al respecte.
Exemple d'aquest fitxer per que el tallafocs connecti una xarxa a internet, tres zones , tallafocs, len i internet:
# origen destí política loglevel limiti:ràfega net loc ACCEPT # permetem tràfic de la xarxa local a internet. net info tota DROP # Ignorem les connexions que des d'internet vulguin fer a la xarxa local i les vam registrar en el log. all all REJECT info # Rebutgem qualsevol altra connexió que no estigui recollida en la part superior i la registrem.
Per consultar l'ajuda d'aquest fitxer.
home Shorewall-política
/etc / Shorewall / rules
Aquí es defineix l'obertura de ports. També es defineixen les regles de DNAT i registre de certs paquets.
Exemple d'aquest fitxer per que el tallafocs connecti una xarxa a internet, tres zones , tallafocs, len i internet:
# Acció Origen Destinació Protocol Port Destinació Port Origen Destinació Original Taxa / Límit SSH / ACCEPT len $ FW # Acceptem connexions ssh des de la LAN al tallafocs (campana per veure com configuri) RDP(DTA) loc net:192.168.1.23 # redireccionem el servico RDP port 3389 a la ip de la LAN 192.168.1.23 ACCEPT $ loc FW icmp # Permetem ping des del tallafocs a la LAN ACCEPT $ FW icmp neta # Permetem ping des del tallafocs a internet
Per consultar l'ajuda d'aquest fitxer.
home Shorewall-rules
/etc / Shorewall / masq
Aquest fitxer s'utilitza per definir masquerading i SNAT. Configurem les xarxes que volen connectar-se a Internet atraves d'un firewall.
Exemple d'aquest fitxer per que el tallafocs permeti a la lan (eth1) connectar-se a Internet (eth0):
# Interfície Subxarxa Direcció Protocol Ports IPSEC eth1 eth0
Per consultar l'ajuda d'aquest fitxer.
home Shorewall-masq
Arxius de configuració Mas.
- hosts: S'utilitza per associar grups de hosts a una zona. És essencial per definir múltiples zones sobre una interfície.
- llista negra: Qualsevol adreça IP o blocs d'adreces IP que s'afegeixin a aquesta imatge quedaran automàticament en llista negra.
- túnels: S'utilitza per configurar regles de Netfilter per a diferents tipus de túnels (IPsec, OpenVPN, etc.)
- tcrules: S'utilitza per carregar regles de tc (eina per a la configuració dels serveis de traffic shaping del nucli) des del tallafocs. Balanceig de càrrega.
- Per conèixer la resta mirar /etc / Shorewall
Fitxers d'exemple
Una altra gran avantatge del shorewal és que té diversos fitxers d'exemple amb preconfiguracions mitjançant els quals només amb copiar i enganxar en /etc / Shorewall els fitxers el firewall funcionària correctament.
els fitxers d'exemple estan a la següent ruta:
/usr / share / doc / / Exemples Shorewall comuns
Hi ha tres carpetes amb els arxius de configuració per defecte per als casos.
- Una interfície de xarxa (solista WAN)
- Les interfícies de xarxa (WAN i LAN)
- Interfícies Molt res (WAN, LAN i DMZ)
Copiariamos els arxius de la carpeta / etc / Shorewall encenderiamos el firewall ia funcionar, més ràpid i fàcil no pot ser.
Espero que aquest mar útil tutorial, si t'agraden les féssiu aprecien una +1 a les xarxes socials perquè arribi a més gent que em fa il · lusió. Moltes gràcies per llegir l'article fins al final ;).
Molt bo, gràcies per la teva aportació.
molt bona aportació ara pregunto si desitgés bloquejar unes ip de la xarxa que no tinguin sortida a internet com serà això com ho podria fer
Jo canviaria la porta d'enllaç en aquestes IP i ja no tenen connexió a Internet a shorewall ho pots fer a / etc / shorewall / rules afegint
NEGAR lan:192.168.1.34 tcp net 80
fica les Ip que et calguin o la subxarxa que necessitis.
Que tal,
I si volguéssim deixar passar tot el trànsit d'una ip en particular?, o sigui per exemple un vip, que no vull que el shorewall el bloquegi a na?.
Gràcies
Per defecte el firewall permet la sortida de totes les IPs locals (lloc) i per tots els ports cap a internet (net) ja que l'hi indiquem a l'arxiu /etc / Shorewall / Política amb l'entrada net loc ACCEPT. Si són així els equips no accedeixen a tot internet pot ser per que alguna regla a /etc / Shorewall / rules l'hi impedeix. Si el que vols és que des de fora de la xarxa puguin connectar-se a un equip concret el que has de fer és obrir els ports o si els vols tots oberts posa l'equip a la DMZ. Si cap d'aquestes idees t'ho facilita crec que necessito saber més dades per poder contestar adequadament.
Com es pot realitzar un balanceig de càrrega per a dos o més WAN
no ho sé, no puc ajudar-te jo els balanceigs els faig amb routers mikrotik