Shorewall: Easy Network Firewall pour GNU / Linux
J'ai toujours voulu savoir iptables et l'ai trouvé très difficile à utiliser, d'où, quand je suis venu la nécessité de configurer un pare-feu que j'ai soulevée était la meilleure façon de déployer un serveur sous linux, réponse, Shorewall. Iptables done facile, si la publicité est ce pare-feu qui a une façon très simple à utiliser. Nous utiliserons cette aenseñar pare-feu comme un réseau local.
Pour des exemples, je vais utiliser la configuration réseau suivante.
Installation
Pour installer ce pare-feu dans Ubuntu serait la commande:
sudo apt-get install shorewall
Shorewall est configuré via des fichiers de configuration situés dans /etc / shorewall Nous allons répondre à ces fichiers et leurs caractéristiques.
/etc / shorewall / shorewall.conf
Dans ce fichier plusieurs paramètres les plus pertinents sont définis comme suit:
STARTUP_ENABLED
Mettez la valeur “Oui” la “oui” pour la fonction de pare-feu
ADMINISABSENTMINDED
Cette variable si elle est configurée en “Pas” la “aucun” Etats que c'est seulement quand nous nous arrêtons les connexions de pare-feu ou à des adresses dans le fichier placent autorisés /etc / shorewall / routestopped. Si elle est configurée en “Oui” la “oui” également les connexions qui étaient actifs lorsque le pare-feu a cessé de travailler et vous toutes les connexions établies avec la machine dans laquelle nous configurons shorewall seront acceptées.
IP_FORWARDING
Définit lorsqu'il est configuré en “Sur” si les paquets IPv4 pare-feu ou acheminés . Ce paramètre est important pour les équipes d'accéder au réseau interne vers l'extérieur.
Pour voir ce fichier d'aide.
man shorewall.conf
/etc / shorewall / zones
Dans ce fichier, quelques zones définies interfaces ou a le pare-feu. Chaque réseau, nous voulons unir à travers le pare-feu, nous considérons une zone, Près de la première propre du pare-feu grave ,également très au sérieux LAN, otra la zona wifi, une autre DMZ (DMZ pour les serveurs) et la dernière zone serait internet.
Exemple de ce fichier pour le pare-feu de connexion Internet d'un réseau, trois zones , pare-feu, lan y Internet:
# options de type de zone dans OUT # Options Options Fw firewall # définir el pare-feu net ipv4 # définir Internet WAN loc ipv4 # définit le réseau local LAN
Pour voir ce fichier d'aide.
man shorewall-zones
/etc / shorewall / interfaces
Voici les cartes réseau sont fixés, interfaces, le pare-feu va être utilisé et attribué la zone dans laquelle ils doivent être chacun. En outre, certaines propriétés sont identifiés sur l'interprétation des paquets entrant ou sortant d'une interface unique.
Exemple de ce fichier pour le pare-feu de connexion Internet d'un réseau, trois zones , pare-feu, lan y Internet:
#OPTIONS ZONE INTERFACE BROADCAST net eth0 detect dhcp,tcpflags,routefilter,nosmurfs,logmartians,liste noire loc eth1 détecter tcpflags,nosmurfs,liste noire
Pour voir ce fichier d'aide.
man shorewall-interfaces
/etc / shorewall / policy
Voici les politiques sont définies par défaut à voir avec les paquets transitant entre les différents domaines.
Politiques possibles sont:
- ACCEPTER: La connexion est acceptée
- DROP: La connexion est ignorée
- REJETER: La connexion est explicitement rejette
- QUEUE: Envoyer la demande pour une application à la cible QUEUE.
- CONTINUER: Laissez la demande de connexion de poursuivre le traitement d'autres règles sont.
- NONE: On suppose que cette connexion ne peut pas être généré et pas de règles sur.
Exemple de ce fichier pour le pare-feu de connexion Internet d'un réseau, trois zones , pare-feu, lan y Internet:
# origine-destination limite de la politique de niveau de journalisation:rafaga loc net ACCEPT # autoriser le trafic sur le réseau local à Internet. net all DROP info # Nous ignorons les connexions provenant d'Internet veulent faire pour le réseau local et de les enregistrer dans le journal. all all REJECT info # Nous rejetons toute connexion qui ne sont pas recueillies dans le haut et vérifié.
Pour voir ce fichier d'aide.
man shorewall-policy
/etc / shorewall / rules
Voici les ports d'ouverture définies. Règles DNAT définissent également certains paquets et inscription.
Exemple de ce fichier pour le pare-feu de connexion Internet d'un réseau, trois zones , pare-feu, lan y Internet:
# Protocole d'action Source Port Destination Port destination Destination origine Tarif / Limite SSH / ACCEPT lan $ FW # Nous acceptons les connexions ssh du LAN au pare-feu (cloche pour voir comment vous définissez) RDP(DNAT) net loc:192.168.1.23 # servico rediriger le port RDP 3389 l'IP LAN 192.168.1.23 ACCEPT $ FW loc icmp # Nous permettons ping du pare-feu pour le LAN ACCEPT $FW net icmp # Ping du pare-feu permet Internet
Pour voir ce fichier d'aide.
man shorewall-rules
/etc / shorewall / masq
Ce fichier est utilisé pour définir la SNAT et le masquage. Nous configurons les réseaux que vous souhaitez vous connecter à Internet traversent un pare-feu.
Exemple de ce fichier afin que le pare-feu permet le lan (eth1) se connecter à Internet (eth0):
# Ports Interface Adresse de sous-réseau protocole IPSEC eth0 eth1
Pour voir ce fichier d'aide.
man shorewall-masq
Fichiers de configuration Mas.
- hôtes: Permet d'associer des groupes d'hôtes dans une zone. Il est essentiel de définir plusieurs zones sur une interface.
- liste noire: Toute adresse IP ou des adresses IP ajoutées à ce fichier seront automatiquement la liste noire.
- tunnels: Il est utilisé pour configurer automatiquement des règles Netfilter pour différents types de tunnels (IPsec, OpenVPN, etc)
- tcrules: Est utilisé pour charger les règles tc (outil de configuration de trafic des services de mise en forme du noyau) du pare-feu. l'équilibrage de charge.
- Pour le look de repos à /etc / shorewall
fichiers d'exemple
Un autre grand avantage, c'est qu'il a plusieurs exemples de fichiers shorewal avec préréglages de sorte que seul copier et coller dans /etc / shorewall les dossiers officiels pare-feu de correctement.
Exemples de fichiers sont dans le chemin suivant:
/usr/share/doc/shorewall-common/examples
Il ya trois dossiers avec les fichiers de configuration par défaut pour les éléments suivants.
- Une interface de réseau (solo WAN)
- Les interfaces de réseau (WAN y LAN)
- Tres interfaces de res (WAN, LAN y DMZ)
À copier les fichiers dans le dossier / etc / shorewall pare-feu et de fonctionner encenderiamos, plus rapide et plus facile ne peut pas être.
J'espère que cette mer utile tutoriel, si vous aimez les hicieseis apprécient un +1 dans les réseaux sociaux pour atteindre plus de gens que je suis excité. Merci beaucoup pour la lecture de l'article jusqu'à la fin ;).
Très bon, Merci pour votre entrée.
très bonne contribution me demande maintenant si je voulais bloquer une adresse IP du réseau sans internet en sortie comme cela pourrait se faire
Je voudrais changer la passerelle IP dans ces pays et ne plus avoir de connexion Internet dans shorewall peut le faire dans / etc / shorewall / rules ajoutant
DENY lan:192.168.1.34 tcp net 80
jeux de Ip avez-vous besoin ou sous-réseau dont vous avez besoin.
Qu'en est-il,
Et si nous voulons passer tout le trafic provenant d'une adresse IP particulière?, Je veux dire par exemple un VIP, Je ne veux pas le bloquer dans la shorewall na?.
Merci
Par défaut, le pare-feu permet l'élimination de toutes les adresses IP locales (emplacement) et tous les ports à l'Internet (net) comme il a déclaré dans le fichier /etc / shorewall / policy avec l'entrée loc net ACCEPT. Si vous êtes comme les équipes ne pas avoir accès à Internet peut être tout ce que certains règle /etc / shorewall / rules il empêche. Si ce que vous voulez est que depuis l'extérieur du réseau peut se connecter à un ordinateur spécifique ce faire est d'ouvrir les ports ou si vous voulez les avoir toutes ouvertes pour mettre l'ordinateur dans la DMZ. Si aucune de ces idées facilitera vous pensez que je dois connaître plus de détails afin de répondre correctement.
Comment l'équilibrage de charge peut-il être effectué pour deux ou plusieurs WAN
Je ne sais pas, Je ne peux pas vous aider, je fais l'équilibrage avec les routeurs mikrotik