Shorewall: Un buen firewall para GNU/Linux

Shorewall: Easy Network Firewall pour GNU / Linux

J'ai toujours voulu savoir iptables et l'ai trouvé très difficile à utiliser, d'où, quand je suis venu la nécessité de configurer un pare-feu que j'ai soulevée était la meilleure façon de déployer un serveur sous linux, réponse, Shorewall. Iptables done facile, si la publicité est ce pare-feu qui a une façon très simple à utiliser. Nous utiliserons cette aenseñar pare-feu comme un réseau local.

Pour des exemples, je vais utiliser la configuration réseau suivante.

shorewall

Installation

Pour installer ce pare-feu dans Ubuntu serait la commande:

sudo apt-get install shorewall

Shorewall est configuré via des fichiers de configuration situés dans /etc / shorewall Nous allons répondre à ces fichiers et leurs caractéristiques.

/etc / shorewall / shorewall.conf

Dans ce fichier plusieurs paramètres les plus pertinents sont définis comme suit:

STARTUP_ENABLED

Mettez la valeur “Oui” la “oui” pour la fonction de pare-feu

ADMINISABSENTMINDED

Cette variable si elle est configurée en “Pas” la “aucun” Etats que c'est seulement quand nous nous arrêtons les connexions de pare-feu ou à des adresses dans le fichier placent autorisés /etc / shorewall / routestopped. Si elle est configurée en “Oui” la “oui” également les connexions qui étaient actifs lorsque le pare-feu a cessé de travailler et vous toutes les connexions établies avec la machine dans laquelle nous configurons shorewall seront acceptées.

IP_FORWARDING

Définit lorsqu'il est configuré en “Sur” si les paquets IPv4 pare-feu ou acheminés . Ce paramètre est important pour les équipes d'accéder au réseau interne vers l'extérieur.

Pour voir ce fichier d'aide.

man shorewall.conf

/etc / shorewall / zones

Dans ce fichier, quelques zones définies interfaces ou a le pare-feu. Chaque réseau, nous voulons unir à travers le pare-feu, nous considérons une zone, Près de la première propre du pare-feu grave ,également très au sérieux LAN, otra la zona wifi, une autre DMZ (DMZ pour les serveurs) et la dernière zone serait internet.

Exemple de ce fichier pour le pare-feu de connexion Internet d'un réseau, trois zones , pare-feu, lan y Internet:

# options de type de zone dans OUT
#                       Options Options
Fw firewall # définir el pare-feu
net ipv4 # définir Internet WAN
loc ipv4 # définit le réseau local LAN

Pour voir ce fichier d'aide.

man shorewall-zones

/etc / shorewall / interfaces

Voici les cartes réseau sont fixés, interfaces, le pare-feu va être utilisé et attribué la zone dans laquelle ils doivent être chacun. En outre, certaines propriétés sont identifiés sur l'interprétation des paquets entrant ou sortant d'une interface unique.

Exemple de ce fichier pour le pare-feu de connexion Internet d'un réseau, trois zones , pare-feu, lan y Internet:

#OPTIONS ZONE INTERFACE BROADCAST
net eth0 detect dhcp,tcpflags,routefilter,nosmurfs,logmartians,liste noire
loc eth1 détecter tcpflags,nosmurfs,liste noire

Pour voir ce fichier d'aide.

man shorewall-interfaces

/etc / shorewall / policy

Voici les politiques sont définies par défaut à voir avec les paquets transitant entre les différents domaines.

Politiques possibles sont:

  • ACCEPTER: La connexion est acceptée
  • DROP: La connexion est ignorée
  • REJETER: La connexion est explicitement rejette
  • QUEUE: Envoyer la demande pour une application à la cible QUEUE.
  • CONTINUER: Laissez la demande de connexion de poursuivre le traitement d'autres règles sont.
  • NONE: On suppose que cette connexion ne peut pas être généré et pas de règles sur.

Exemple de ce fichier pour le pare-feu de connexion Internet d'un réseau, trois zones , pare-feu, lan y Internet:

# origine-destination limite de la politique de niveau de journalisation:rafaga
 loc net ACCEPT # autoriser le trafic sur le réseau local à Internet.
 net all DROP info # Nous ignorons les connexions provenant d'Internet veulent faire pour le réseau local et de les enregistrer dans le journal.
 all all REJECT info # Nous rejetons toute connexion qui ne sont pas recueillies dans le haut et vérifié.

Pour voir ce fichier d'aide.

man shorewall-policy

/etc / shorewall / rules

Voici les ports d'ouverture définies. Règles DNAT définissent également certains paquets et inscription.

Exemple de ce fichier pour le pare-feu de connexion Internet d'un réseau, trois zones , pare-feu, lan y Internet:

# Protocole d'action Source Port Destination Port destination Destination origine Tarif / Limite
SSH / ACCEPT lan $ FW   # Nous acceptons les connexions ssh du LAN au pare-feu (cloche pour voir comment vous définissez)
RDP(DNAT) net loc:192.168.1.23 # servico rediriger le port RDP 3389 l'IP LAN 192.168.1.23
ACCEPT $ FW loc icmp # Nous permettons ping du pare-feu pour le LAN 
ACCEPT $FW net icmp # Ping du pare-feu permet Internet

Pour voir ce fichier d'aide.

man shorewall-rules

/etc / shorewall / masq

Ce fichier est utilisé pour définir la SNAT et le masquage. Nous configurons les réseaux que vous souhaitez vous connecter à Internet traversent un pare-feu.

Exemple de ce fichier afin que le pare-feu permet le lan (eth1) se connecter à Internet (eth0):

# Ports Interface Adresse de sous-réseau protocole IPSEC
eth0 eth1

Pour voir ce fichier d'aide.

man shorewall-masq

Fichiers de configuration Mas.

  • hôtes: Permet d'associer des groupes d'hôtes dans une zone. Il est essentiel de définir plusieurs zones sur une interface.
  • liste noire: Toute adresse IP ou des adresses IP ajoutées à ce fichier seront automatiquement la liste noire.
  • tunnels: Il est utilisé pour configurer automatiquement des règles Netfilter pour différents types de tunnels (IPsec, OpenVPN, etc)
  • tcrules: Est utilisé pour charger les règles tc (outil de configuration de trafic des services de mise en forme du noyau) du pare-feu. l'équilibrage de charge.
  • Pour le look de repos à /etc / shorewall

 

fichiers d'exemple

Un autre grand avantage, c'est qu'il a plusieurs exemples de fichiers shorewal avec préréglages de sorte que seul copier et coller dans /etc / shorewall les dossiers officiels pare-feu de correctement.

Exemples de fichiers sont dans le chemin suivant:

 /usr/share/doc/shorewall-common/examples

Il ya trois dossiers avec les fichiers de configuration par défaut pour les éléments suivants.

  • Une interface de réseau (solo WAN)
  • Les interfaces de réseau (WAN y LAN)
  • Tres interfaces de res (WAN, LAN y DMZ)

À copier les fichiers dans le dossier / etc / shorewall pare-feu et de fonctionner encenderiamos, plus rapide et plus facile ne peut pas être.

J'espère que cette mer utile tutoriel, si vous aimez les hicieseis apprécient un +1 dans les réseaux sociaux pour atteindre plus de gens que je suis excité. Merci beaucoup pour la lecture de l'article jusqu'à la fin ;).


Au sujet de Ignacio Alba Obaya

Micro-ordinateur et de la formation technique pour l'emploi. Amant de nouvelles technologies. GNU Manager / Linux et Windows.

7 commentaires:

  1. très bonne contribution me demande maintenant si je voulais bloquer une adresse IP du réseau sans internet en sortie comme cela pourrait se faire

    1. Je voudrais changer la passerelle IP dans ces pays et ne plus avoir de connexion Internet dans shorewall peut le faire dans / etc / shorewall / rules ajoutant
      DENY lan:192.168.1.34 tcp net 80

      jeux de Ip avez-vous besoin ou sous-réseau dont vous avez besoin.

  2. Qu'en est-il,

    Et si nous voulons passer tout le trafic provenant d'une adresse IP particulière?, Je veux dire par exemple un VIP, Je ne veux pas le bloquer dans la shorewall na?.

    Merci

    1. Par défaut, le pare-feu permet l'élimination de toutes les adresses IP locales (emplacement) et tous les ports à l'Internet (net) comme il a déclaré dans le fichier /etc / shorewall / policy avec l'entrée loc net ACCEPT. Si vous êtes comme les équipes ne pas avoir accès à Internet peut être tout ce que certains règle /etc / shorewall / rules il empêche. Si ce que vous voulez est que depuis l'extérieur du réseau peut se connecter à un ordinateur spécifique ce faire est d'ouvrir les ports ou si vous voulez les avoir toutes ouvertes pour mettre l'ordinateur dans la DMZ. Si aucune de ces idées facilitera vous pensez que je dois connaître plus de détails afin de répondre correctement.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. les champs requis sont indiqués *