Shorewall: Easy Network Firewall für GNU / Linux
Ich wollte schon immer wissen, iptables und haben es sehr schwer zu bedienen, daher, als ich die Notwendigkeit, eine Firewall, die ich aufgeworfen wurde, war die einfachste Möglichkeit, einen Server auf Linux einsetzen konfigurieren, Antwort, Shorewall. Iptables done leicht, so ist die Werbung diese Firewall, die eine sehr einfache Art und Weise zu bedienen hat. Wir werden diese Firewall aenseñar wie ein lokales Netzwerk verwenden.
Beispiele werde ich die folgenden Netzwerkkonfiguration verwenden.
Installation
Um diese Firewall in Ubuntu installieren würde der Befehl sein:
sudo apt-get install shorewall
Shorewall wird über Konfigurationsdateien befinden konfiguriert /etc / shorewall Wir werden diese Dateien und ihre Eigenschaften erfüllen.
/etc / shorewall / shorewall.conf
In dieser Datei mehrere weitere relevante Parameter wie folgt eingestellt sind:
STARTUP_ENABLED
Setzen Sie den Wert in “Ja” die “ja” für die Firewall-Funktion
ADMINISABSENTMINDED
Diese Variable konfiguriert, wenn in “Nicht” die “nicht” Staaten, die nur dann, wenn wir aufhören, die Firewall-Verbindungen zu oder von den Adressen in der Datei legen Sie sie erlaubt /etc / shorewall / routestopped. Wenn im konfiguriert “Ja” die “ja” auch die Verbindungen, die aktiv waren, wenn die Firewall aufgehört zu arbeiten, und Sie werden alle Verbindungen mit der Maschine, in der wir shorewall konfigurieren etabliert werden akzeptiert.
Ip_forwarding
Legt wenn in konfiguriert “Auf” wenn die Firewall oder weitergeleitet IPv4-Pakete . Dieser Parameter ist wichtig für die Teams, um das interne Netzwerk nach außen zugreifen.
Um diese Hilfe-Datei anzeigen.
Mann shorewall.conf
/etc / shorewall / Zonen
In dieser Datei werden einige Bereiche definierte Schnittstellen oder hat die Firewall. Jedes Netzwerk, das wir durch die Firewall betrachten wir eine Fläche vereinen wollen, In der Nähe der ersten ernsthaften firewal eigenen ,ein weiterer ernsthafter Bereich LAN, la otra zona wifi, ein weiterer DMZ (DMZ für Server) und der letzte Bereich sein würde Internet.
Beispiel der Datei für die Firewall, ein Netzwerk Internet verbinden, drei Zonen , Firewall, lan y Internet:
# ZONE TYPE OPTIONEN IN OUT # OPTIONEN OPTIONEN Fw Firewall # definieren el Firewall Netto ipv4 # Internet-WAN definieren loc ipv4 # definiert das lokale Netzwerk LAN
Um diese Hilfe-Datei anzeigen.
Mann shorewall-Zonen
/etc / shorewall / interfaces
Hier werden die Netzwerkkarten eingestellt sind, Schnittstellen, Die Firewall wird verwendet und das Gebiet, in dem sie zu jedem sein, zugeordnet werden. Darüber hinaus werden bestimmte Eigenschaften auf die Interpretation der Pakete Betreten oder Verlassen einer einzigen Schnittstelle identifiziert.
Beispiel der Datei für die Firewall, ein Netzwerk Internet verbinden, drei Zonen , Firewall, lan y Internet:
#ZONE INTERFACE Broadcast-Optionen net erkennen dhcp eth0,tcpflags,route,nosmurfs,logmartians,Blacklist loc eth1 tcpflags erkennen,nosmurfs,Blacklist
Um diese Hilfe-Datei anzeigen.
Mann shorewall-Schnittstellen
/etc / shorewall / policy
Hier Richtlinien werden standardmäßig auf Pakete mit Reisen zwischen verschiedenen Bereichen zu tun.
Mögliche Maßnahmen sind:
- ACCEPT: Die Verbindung wird akzeptiert
- DROP: Die Verbindung wird ignoriert
- REJECT: Die Verbindung ist ausdrücklich ablehnt
- QUEUE: Schicken Sie die Anfrage an eine Anwendung mit dem Ziel QUEUE.
- WEITER: Lassen Sie die Verbindungsanfrage weiterverarbeiten anderen Regeln sind.
- NONE: Es wird angenommen, dass diese Verbindung nicht erzeugt werden kann und keine Regeln.
Beispiel der Datei für die Firewall, ein Netzwerk Internet verbinden, drei Zonen , Firewall, lan y Internet:
# Herkunft Ziel Loglevel Politik Grenze:rafaga loc Netto ACCEPT # ermöglichen Verkehr aus dem lokalen Netzwerk zum Internet. net alle DROP info # Wir ignorieren die Verbindungen aus dem Internet wollen, um das lokale Netzwerk zu tun und sie im Protokoll. alle alle REJECT info # Wir weisen jede Verbindung, die nicht an der Spitze gesammelt und überprüft.
Um diese Hilfe-Datei anzeigen.
Mann shorewall-Politik
/etc / shorewall / rules
Hier Öffnen von Ports definiert. DNAT-Regeln bestimmte Pakete und Anmeldung definieren auch.
Beispiel der Datei für die Firewall, ein Netzwerk Internet verbinden, drei Zonen , Firewall, lan y Internet:
# Action-Protokoll Source Port Destination Port Reiseziel Reiseziel Original-Rate-/ Grenz SSH / lan ACCEPT $ FW # Wir akzeptieren ssh-Verbindungen aus dem LAN auf die Firewall (Glocke zu sehen, wie Sie eingerichtet) RDP(DTA) net loc:192.168.1.23 # servico leiten Sie den RDP-Port 3389 die LAN-IP 192.168.1.23 ACCEPT $ FW loc icmp # Wir erlauben ping von der Firewall in das LAN ACCEPT $ FW net icmp # Ping von der Firewall erlauben Internet
Um diese Hilfe-Datei anzeigen.
Mann shorewall-Regeln
/etc / shorewall / masq
Diese Datei wird verwendet, um zu definieren SNAT und Masquerading. Wir konfigurieren die Netzwerke, auf die sie mit dem Internet verbinden wollen, durchlaufen eine Firewall.
Beispiel für diese Datei, so dass die Firewall das LAN- (eth1) Verbindung mit dem Internet (eth0):
# Schnittstellenanschlüsse Adresse Subnet IPSEC Protokoll eth0 eth1
Um diese Hilfe-Datei anzeigen.
Mann shorewall-masq
Mas Konfigurationsdateien.
- Gastgeber: Wird verwendet, um Gruppen von Hosts zu einem Bereich zuordnen. Es ist wichtig, mehrere Bereiche auf einer Schnittstelle definieren.
- Blacklist: Jede IP-Adresse oder der IP-Adressen zu dieser Datei hinzugefügt wird automatisch Blacklist sein.
- Tunnel: Es wird verwendet, um Netfilter-Regeln automatisch zu konfigurieren, für verschiedene Arten von Tunneln (IPsec, OpenVPN, usw.)
- tcrules: Wird verwendet, um Regeln tc laden (Tool für die Konfiguration Traffic Shaping Dienstleistungen Kernel) von der Firewall. Load Balancing.
- Für den Rest Blick auf /etc / shorewall
Beispieldateien
Ein weiterer großer Vorteil ist, dass es mehrere shorewal Beispiel Dateien mit Voreinstellungen, wobei nur kopieren und in /etc / shorewall die offiziellen Dateien korrekt Firewall.
Beispieldateien sind in den folgenden Pfad:
/usr / share / doc / shorewall-common / examples
Es gibt drei Ordner mit den Standardkonfigurationsdateien für die folgenden.
- Eine Netzwerkschnittstelle (Solo-WAN)
- Die Netzwerkschnittstellen (WAN-LAN-y)
- Sehr Schnittstellen res (WAN, LAN y DMZ)
Möchten Sie die Dateien in den Ordner / etc / shorewall Firewall kopieren und ausführen encenderiamos, schneller und einfacher kann nicht.
Ich hoffe, dieses Tutorial nützlich Meer, Wenn Sie wie die hicieseis schätzen ein +1 in sozialen Netzwerken, um mehr Menschen zu erreichen Ich bin begeistert. Vielen Dank für das Lesen der Artikel bis zum Ende ;).
Sehr gut, Vielen Dank für Ihre Eingabe.
sehr guter Beitrag jetzt frage, ob ich eine IP des Netzwerk ohne Internet als Ausgang zu blockieren, wie es getan werden könnte
Ich würde die Gateway-IP in diese zu ändern und Internet-Anschluss in Shorewall können es in / etc / shorewall / rules tun Zugabe nicht mehr
DENY lan:192.168.1.34 net tcp 80
IP-Stücke brauchen Sie oder Subnetz müssen.
Dass eine solche,
Und wenn wir den gesamten Datenverkehr von einer bestimmten IP weitergeben wollen?, Ich meine zum Beispiel ein VIP, Ich will nicht, um es in der Shorewall na blockieren?.
Dank
Standardmäßig ist die Firewall ermöglicht die Entfernung aller lokalen IPs (Lage) und alle Ports zum Internet (netto) wie es in der Datei angegebenen /etc / shorewall / policy mit der Eingabe loc Netto ACCEPT. Wenn Sie wie die Teams haben keinen Zugang zum Internet kann alles, einige Regel sein /etc / shorewall / rules sie verhindert, dass. Wenn das, was Sie wollen, ist, dass von außerhalb des Netzwerks auf einen bestimmten Computer zu verbinden, was zu tun ist, die Ports öffnen, oder wenn Sie wollen, dass alle offen, um den Computer in die DMZ gesetzt. Wenn keine dieser Ideen so einfach Ich glaube, ich brauche mehr Informationen kennen, um Sie richtig zu beantworten.
So führen Sie einen Lastausgleich für zwei oder mehr WANs durch
weiß nicht,, Ich kann dir nicht helfen, ich balanciere mit Mikrotik-Routern