Shorewall: Erraza Network Firewall GNU / Linux
Nik beti nahi izan iptables ezagutu eta aurkitu erabiltzea oso zaila da, hortik datorkio, denean beharra firewall bat planteatu nuen linux zerbitzari bat zabaldu modurik errazena konfiguratzeko etorri nintzen, erantzun, Shorewall. Iptables done erraza, beraz suebaki hau da erabiltzeko oso modu sinple bat du publizitatea da. Firewall aenseñar hau erabiliko dugu sare lokal gisa.
Adibide honako sareko konfigurazioa erabiliko dut.
Instalazioa
Suebaki hau instalatzeko Ubuntun komandoa izango litzateke:
sudo apt-get install shorewall
Shorewall dago kokatua konfigurazio fitxategiak bidez konfiguratuta /etc / shorewall Fitxategi horiek eta horien ezaugarriak bilduko dugu.
/etc / shorewall / shorewall.conf
Fitxategi honen barruan hainbat parametro garrantzitsuagoak ezarri dira honako hauek dira:
STARTUP_ENABLED
Jarri balioan izandako “Bai” du “bai” suebakiaren funtzioa
ADMINISABSENTMINDED
Aldagai honetan konfiguratuta badago “Ez” du “no” estatu hori bakarrik denean firewall edo helbide egindako konexioak gelditzeko dugun fitxategian jarri onartzen /etc / shorewall / routestopped. Da konfiguratuta badago “Bai” du “bai” ere aktibo zeuden denean suebakia gelditu lan eta makina zein shorewall konfiguratzeko dugu izango duzu ezarritako konexio guztiak konexioak onartuko dira.
IP_FORWARDING
Denean konfiguratuta ezartzen “On” bada suebaki edo bideratzen IPv4 pakete . Parametro hori garrantzitsua da milaka taldeen barne-sarea sartzeko kanpora.
Laguntza Fitxategi hau baloratu.
Gizon shorewall.conf
/etc / shorewall / zonaldea
Fitxategi honetan arlo batzuk zehaztutako interfaces edo suebakia ditu. Sare bakoitzean suebakia eremu bat aintzat hartzen badugu bidez elkartu nahi dugu, Lehen egin firewal larriak gertu ,beste area larriak LAN, otra la zona wifi, beste DMZ (DMZ zerbitzariak) eta azken area internet izango litzateke.
Fitxategi hau firewall egiteko adibidea sare internet bat konektatu, hiru eremuetan , firewall, lan eta internet:
# ZONE MOTA OPTIONS OUT IN # OPTIONS OPTIONS Fw firewall # define el firewall ipv4 net # define internet WAN lok ipv4 # definituko diren tokiko sarea LAN
Laguntza Fitxategi hau baloratu.
Gizon shorewall-zonetan
/etc / shorewall / interfaces
Hemen sare txartelak ezarri dira, interfaces, suebakia da erabiltzea, eta area horretan, bakoitzak izan behar dute esleitutako joan. Horrez gain, propietate jakin paketetan sartu edo irten, interfaze bakar baten interpretazio burutuko da.
Fitxategi hau firewall egiteko adibidea sare internet bat konektatu, hiru eremuetan , firewall, lan eta internet:
#ZONE INTERFACE BROADCAST OPTIONS eth0 garbia detektatzen dhcp,tcpflags,routefilter,nosmurfs,logmartians,blacklist lok eth1 tcpflags detektatzeko,nosmurfs,blacklist
Laguntza Fitxategi hau baloratu.
Gizon shorewall-interfazeak
/etc / shorewall / politika
Hemen politikak dira paketetan arlo ezberdinen artean bidaiatzen zerikusirik lehenetsita ezarri.
Politikak posibleak:
- ONARTZEN: Konexioa onartu da
- DROP: Konexioa ez da kontuan hartuko
- Uko egin: Konexioa da esplizituki arbuiatu
- QUEUE: Bidali eskaera Aplikazio batera QUEUE xede duen.
- JARRAITU: Onartu konexio eskaera beste arau prozesatzerakoan jarraitzeko dira.
- NONE: Lotura hori ezin da sortzen dela onartuta dago eta buruzko arauak ez.
Fitxategi hau firewall egiteko adibidea sare internet bat konektatu, hiru eremuetan , firewall, lan eta internet:
# jatorri helmuga LogLevel politika muga:Rafaga lok net ONARTZEN # baimendu trafiko tokiko saretik interneterako. net DROP guztiak info # Ez ikusi genuen Internetetik konexioak, tokiko sarea egin eta horiek grabatzeko erregistroan nahi. guztiak all Ukatu info # Hori ez da goialdean bildu eta egiaztatu edozein konexio ukatzen dugu.
Laguntza Fitxategi hau baloratu.
Gizon shorewall-politika
/etc / shorewall / arauak
Definitu hemen irekitzeko portuak. DNAT arauak ere zenbait pakete eta erregistroa definitzeko.
Fitxategi hau firewall egiteko adibidea sare internet bat konektatu, hiru eremuetan , firewall, lan eta internet:
# Ekintza Protokoloa Iturria Port Helmuga Port Helmuga Helmuga Original Tasa / Mugatu SSH / ONARTZEN lan $ AU # Ssh LAN konexioak onartzen dugu suebakia izateko (Kanpai nola ezarri duzun ikusteko) RDP(DTA) lok net:192.168.1.23 # servico redirect RDP portuan 3389 LAN IP 192.168.1.23 ONARTZEN $ AU loc ICMP # Ping baimendu sare lokalera firewall bidez antzematen dugu ONARTZEN $ FW ICMP net # Ping suebakia dizute Internet
Laguntza Fitxategi hau baloratu.
Gizon shorewall-arauak
/etc / shorewall / masq
Fitxategi hau SNAT definitzeko erabiltzen da eta masquerading. Internetera konektatu nahi duzun sareak zeharkatzeko suebaki bat konfiguratzeko dugu.
Artxibo hau adibidea da, beraz suebakia aukera ematen du lan (eth1) internetera konektatzeko (eth0):
# Interfaze Portuen Helbidea Azpisare IPsec Protokoloa eth0 eth1
Laguntza Fitxategi hau baloratu.
Gizon shorewall-masq
Mas konfigurazio fitxategiak.
- ostalarien: Ostalarien taldeek lotzeko eremu bat erabiltzen. Ezinbestekoa da interfaze batean arlo anitz definitzeko.
- blacklist: Edozein IP helbide edo bloke IP helbideak fitxategi hau gehitu du automatikoki zerrenda beltza izango da.
- tunelak: Da automatikoki konfiguratzeko Netfilter arauak tunel mota ezberdinak egiteko erabiltzen da (IPsec, OpenVPN, eta abar)
- tcrules: Arauak tc kargatzeko erabiltzen da (trafikoa konformazio zerbitzuak kernela konfiguratzeko tresna) suebakia etik. Karga orekatzeko.
- Gainerako begirada egiteko /etc / shorewall
Adibidez fitxategiak
Beste abantaila handia da zenbait shorewal Adibidez aurrezarpenak Horren bidez bakarrik kopiatu eta itsatsi batekin fitxategiak duela /etc / shorewall fitxategiak ofizial egokian suebaki.
Sample fitxategiak honako bide daude:
/usr / share / doc / shorewall-common / adibide
Badira konfigurazio fitxategiak dituen hiru karpetak jarraituz.
- Sareko interfaze bat (bakarkako WAN)
- Sare interfazeak (WAN y LAN)
- Oso interfaces res (WAN, LAN y DMZ)
Fitxategiak kopiatu litzateke karpeta / etc / shorewall firewall eta encenderiamos exekutatu, azkarragoa eta errazagoa ezin da.
Tutorial itsaso hau erabilgarria izatea espero dut, nahi izanez gero hicieseis eskertzen bat +1 sare sozialak jende gehiago iristeko hunkituta nago. Eskerrik asko artikulu irakurtzen amaierara arte egiteko ;).
Oso ona, Zure sarrera esker.
ekarpena oso ona, orain galdetzen internet gabeko sarearen ip a blokeatu irteera gisa nahi dut egin behar izan bada
pasagunea aldatuko nuke IP horietan, eta jada internet shorewall konexioa egin dezakezu / etc / shorewall / arauak ere gehitzen dute
UKATU lan:192.168.1.34 tcp net 80
Ip shoves egin behar duzun edo azpisare behar duzu.
besteak beste,,
Eta trafikoaren guztiak gainditzeko IP jakin batetik nahi badugu?, Esan adibidez VIP bat dut, Ez dut nahi blokeatzeko shorewall batean na?.
Esker
Berez, firewall tokiko IPak guztien irteera ahalbidetzen (leku) eta internet portu guztiak (net) adierazitako fitxategiak geroztik /etc / shorewall / politika sarrera lok net ONARTZEN. Zara ordenagailuak bezala bada ez sartzeko internet guztiak izango duten edozein arau /etc / shorewall / arauak eragozten. zer nahi duzu bada sare kanpotik duten ordenagailu zehatz bat egin behar duzu konektatu ahal izango da portuak irekitzeko edo nahi izanez gero guztiak ireki ordenagailuan jarri DMZ. Bada ideia horietako bat ere ez da hain erraza dela uste dut datu gehiago behar bezala erantzun ahal izateko jakin behar dut.
Nola egin karga orekatzea bi WAN edo gehiagorentzat
ez dakit, Ezin dizut lagundu, oreka egiten dut mikrotik bideratzaileekin