Shorewall: Firewall de reto f?Cil por GNU/Linukso
#?iam volis scion iptables kaj #?ajni al mi tre dif?Ciles uzi, Por tio, Kiam mi surgi min? La neceso agordi firewall proponas al mi kiun estis la m?#?Iu sed f?Cil por realigi ?in en servilo en linux, La respondo, Shorewall. Iptables Farita F?Cil, Asi estas la publikeco de #?i tiu fajr-rompilo kiu havas tre simplan formon uzi. Iras al vi aense?Ar kiel uzi #?i tiu fajr-rompilon en reto de ?Loka akuzitino.
Por la ekzemploj estas uzonta la sekvan configuraci?N de reto.
Instalaci?N
Por instali #?i tiu firewall en Ubuntu la komando #esta?o?Al:
#?Viti apt-get install shorewall
Shorewall agordas sin pere de la dosieroj de configuraci?N lokitaj en /Ktp/shorewall Estu konontaj #?i tiu dosierojn kaj liajn caracter?Sticas.
/Ktp/shorewall/shorewall.Conf
En #?i tiu arkivo agordas sin plura paro?Metroj la sed gravaj estas la sekvaj:
STARTUP_ENABLED
Oni devas meti la valoron en “Ipsilonoj” #A? “Ipsilonoj” Por ke la firewall funkciu
ADMINISABSENTMINDED
#?I tiu variablo se ni agordis ?in en “Ne” #A? “Ne” Establas ke kiam ni haltas la firewall nur oni permesas la @conexi?n al #a? de la @direcci?n kiuj havas metojn en la arkivo /Ktp/shorewall/routestopped. Se #?i tiu agordita en “Ipsilonoj” #A? “Ipsilonoj” Ademas la @conexi?n kiuj estis aktivaj kiam ni arestis la firewall sekvi?N funkciante kaj #?iu @conexi?n kiuj #establi kun #ma?inacii ?in en kiuj agordis shorewall esti?N akceptitaj.
IP_FORWARDING
Establas kiam ni agordis lin en “On” Se la firewall enruta #a? ne la pakoj IPv4 . #?I tiu paro?Metro estas grava por ke la teamoj de la interna reto povas aliri al la ekstero.
Por konsulti la helpon de #?i tiu dosiero.
Man shorewall.Conf
/Ktp/shorewall/zones
En #?i tiu arkivo difinas sin cuantas interfacoj #a? zonoj havas la firewall. #?Iu reto kiun ni volas kunigi pere de la firewall konsideras ?in zono, La unua serioza zono la propra firewal ,Alia serioza zono la LAN, Alia la zono wifi, Alia la DMZ (Zono desmilitarizada por la serviloj) Kaj unu finas al ?i zonon #esta?o?Al interreto.
Ekzemplo de #?i tiu dosiero por ke la firewall konektu reton al interreto, Tri zonoj , Firewall, Lan kaj interreto:
# ZONE TYPE OPTIONS IN OUT # OPTIONS OPTIONS Fw firewall # Difinas la firewall Net ipv4 # Difinas interreton WAN Loc ipv4 # Difinas la reton de ?Loka akuzitino LAN
Por konsulti la helpon de #?i tiu dosiero.
Man shorewall-zones
/Ktp/shorewall/interfacoj
Aqu? Ili #establi la kartojn de reto, Interfacoj, Kiu la firewall iras estas uzi kaj oni atribuas al ili la zonon en kiu ili iras estas esti #?iu de ili. Adem?s oni identigas iujn proprietojn koncerne al la interpretaci?N de la pakoj kiuj eniras #a? eliras por tiu interfaco.
Ekzemplo de #?i tiu dosiero por ke la firewall konektu reton al interreto, Tri zonoj , Firewall, Lan kaj interreto:
#ZONE INTERFACE BROADCAST OPTIONS Net eth0 detect dhcp,Tcpflags,Routefilter,Nosmurfs,Logmartians,Blacklist loc eth1 detect tcpflags,Nosmurfs,Blacklist
Por konsulti la helpon de #?i tiu dosiero.
Man shorewall-interfacoj
/Ktp/shorewall/policy
Aqu? Ili difinas sin la pol?Ticas implicite ke fari kun la pakoj kiuj #voja?i inter la malsamaj zonoj.
La eblaj pol?Ticas estas:
- ACCEPT: Akceptas sin la conexi?N
- DROP: Ignoras sin la conexi?N
- REJECT: Malakceptas sin expl?Citamente la conexi?N
- QUEUE: Sendi la mendon al aplicaci?N kun la target QUEUE.
- CONTINUE: Lasi ke la mendo de conexi?N contin?Kaj por sin procesoro por aliaj reguloj.
- NONE: Akceptas sin ke #?i tiu conexi?N ne povas doni sin kaj ne #generi regulojn #?i-rilate.
Ekzemplo de #?i tiu dosiero por ke la firewall konektu reton al interreto, Tri zonoj , Firewall, Lan kaj interreto:
# Origino destinas pol?Tica loglevel limigas:Rafaga Loc net ACCEPT # Permesas #?akri de la loka reto al interreto. Net all DROP info # Ignoris la @conexi?n kiuj de interreto volas fari al la loka reto Kaj registris ilin en la log. All all REJECT info # Malakceptis iun ajn alian conexi?N kiu ne #?i tiu malplenigo en la supera parto kaj registras ?in.
Por konsulti la helpon de #?i tiu dosiero.
Man shorewall-policy
/Ktp/shorewall/rules
Aqu? ?i difinas sin la malfermo de havenoj. Tambi?N difinas sin la reguloj de DNAT kaj registro de iuj pakoj.
Ekzemplo de #?i tiu dosiero por ke la firewall konektu reton al interreto, Tri zonoj , Firewall, Lan kaj interreto:
# Acci?N Origino Destino Protokolo Puerto Destino Puerto Origino Originala Destino Imposto/Limigas SSH/ACCEPT lan $FW # Akceptas @conexi?n ssh de la LAN al la firewall (Sed al vidi kiel agordas lin) RDP(DNAT) Net loc:192.168.1.23 # Redireccionamos la servico RDP haveno 3389 Al la ip de la LAN 192.168.1.23 ACCEPT $FW loc icmp # Permesas ping de la firewall al la LAN ACCEPT $FW net icmp # Permesas ping de la firewall al interreto
Por konsulti la helpon de #?i tiu dosiero.
Man shorewall-rules
/Ktp/shorewall/masq
#?I tiu arkivon oni uzas por difini masquerading kaj SNAT. Agordis la retojn kiuj volas konekti sin al Interreto atraves de firewall.
Ekzemplo de #?i tiu dosiero por ke la firewall permesu al la lan (Eth1) Konekti sin al interreto (Eth0):
# Interfaco Subred Direcci?N Protokolo Havenoj IPSEC Eth0 eth1
Por konsulti la helpon de #?i tiu dosiero.
Man shorewall-masq
Sed dosieroj de configuraci?N.
- Hosts: Oni uzas por asocii grupojn de hosts al zono. Estas esenca por difini m?Ltiples zonoj sur interfaco.
- Blacklist: Iu ajn direcci?N IP #a? blokoj de @direcci?n IP kiu sin al?Adan al #?i tiu arkivo resti?N autom?Ticamente en nigra listo.
- Tunnels: Oni uzas por agordi autom?Ticamente reguloj de Netfilter por malsamaj tipoj de t?Neles (IPSEC, OpenVPN, Ktp.)
- Tcrules: Oni uzas por #?ar?i regulojn de tc (Ilo por la configuraci?N de la servoj de traffic shaping de la kernel) De la firewall. Balancas de #?ar?o.
- Por koni la reston rigardi en /Ktp/shorewall
Dosieroj de ekzemplo
Alia granda #avanta?o de la shorewal estas ke ?i havas plurajn dosierojn de ekzemplo kun preconfiguraciones per kiuj nur kun kopii kaj bati en /Ktp/shorewall La dosieroj la firewall funkciulino #?uste.
La dosieroj de ekzemplo estan en la sekva itinero:
/Usr/share/doc/shorewall-common/examples
Estas tri dosierujoj kun la arkivoj de configuraci?N implicite por la sekvaj kazoj.
- Interfaco de reto (Sola WAN)
- Du interfacoj de reto (WAN kaj LAN)
- Tri interfacoj de bruto (WAN, LAN kaj DMZ)
Copiariamos la arkivoj de la dosierujo en /ktp/shorewall encenderiamos la firewall kaj al funkcii, Sed r?Mi petas kaj f?Cil ne povas esti.
Atendas ke estas al vi util #?i tiu tutorial, Se vi #?ati vin agradeceria kiuj faris +1 En la sociaj retoj por ke ?i atingu sed homoj kiujn faras min ilusi?N. Multaj gracoj por legi la artikas #?is la fino ;).
Tre bona, Dankon por via alportas.
Tre bona alportas nun demandas se ?i deziris bloki ip de la reto ke ili ne havas eliron al interreto kiel sera tio kiel lin podria fari
Mi ŝanĝus la enirejon en tiuj IP-oj kaj ili ne plu havas interretan konekton en shorewall vi povas fari ĝin en / etc / shorewall / regularoj aldonante
DENY lan:192.168.1.34 neta tcp 80
enigu la IP-ojn, kiujn vi bezonas aŭ la subreton, kiun vi bezonas.
Kiel vi fartas,
Kaj se ni volus lasi tra la tuta trafiko de aparta IP?, Mi volas diri vikipedion ekzemple, Mi ne volas, ke la bordarejo ŝlosu ĝin en na?.
Dankon
Defaŭltere la fajrejo permesas la eliron de ĉiuj lokaj IP-oj (loko) kaj tra ĉiuj havenoj al la interreto (reto) ĉar ni indikis ĝin en la dosiero /Ktp/shorewall/policy kun la enirejo Loc net ACCEPT. Se tiel okazas, la komputiloj ne aliras la tutan interreton, eble temas pri tio, ke iuj regulas /Ktp/shorewall/rules malhelpas ĝin. Se tio, kion vi volas, estas, ke ekster la reto ili povas konektiĝi al specifa aparato, kion vi devas fari estas malfermi la havenojn aŭ se vi volas ilin ĉiuj malfermitaj, metu la aparaton en la DMZ. Se neniu el ĉi tiuj ideoj faciligas vin, mi pensas, ke mi bezonas scii pliajn informojn por povi respondi al vi ĝuste.
Kiel plenumi ŝarĝbalancadon por du aŭ pluraj WAN-oj
Ne tio sin, Mi ne povas helpi vin, mi faras la ekvilibron per mikrotikaj enkursigiloj