Shorewall: Ușor Firewall rețea pentru GNU / Linux
Mi-am dorit întotdeauna să știe iptables și au constatat că este foarte dificil de utilizat, prin urmare, când am venit nevoia de a configura un firewall care am crescut a fost cel mai simplu mod de a implementa un server de la linux, răspuns, Shorewall. Iptables terminat ușor, astfel încât face publicitate acest firewall, care are un mod foarte simplu de utilizat. Vom folosi acest aenseñar firewall ca o rețea locală.
Pentru exemple, voi folosi următoarea configurație de rețea.
Instalare
Pentru a instala acest firewall în Ubuntu ar fi comanda:
sudo apt-get install Shorewall
Shorewall este configurat prin fișiere de configurare situate în /etc / Shorewall Ne vom întâlni aceste fișiere și caracteristicile lor.
/etc / Shorewall / shorewall.conf
În cadrul acestui fișier mai mulți parametri mai relevante sunt stabilite sunt după cum urmează:
STARTUP_ENABLED
Pune valoarea în “Da” o “da” pentru funcția de firewall
ADMINISABSENTMINDED
Această variabilă dacă configurate în “Nu” o “nu” prevede că numai atunci când ne oprim conexiunile firewall la sau de la adresele din fișierul se pune permis /etc / Shorewall / routestopped. În cazul în care este configurat în “Da” o “da” De asemenea, conexiunile care erau active la firewall-ul oprit de lucru și vă va toate conexiunile stabilite cu mașina în care vom configura Shorewall vor fi acceptate.
IP_FORWARDING
Seturi, când este configurat în “Pe” dacă firewall-ul sau rutate pachetele IPv4 . Acest parametru este important pentru echipele să acceseze rețeaua internă spre exterior.
Pentru a vizualiza acest fișier de ajutor.
om shorewall.conf
/etc / Shorewall / zone
În acest fișier câteva domenii definite interfețe sau a firewall-ul. Fiecare rețea vrem să se unească prin intermediul firewall-am considera-o zonă, În apropiere de în primul rând propriile firewal serios ,un alt domeniu grav LAN, otra wifi zona la, un alt DMZ (DMZ pentru servere) și ultima zonă ar fi internet.
Exemplu în acest dosar pentru firewall-ul pentru a conecta o rețea de internet, trei zone , firewall, lan y internet:
# OPȚIUNI ZONE DE TIP ÎN OUT # Opțiunile Opțiuni Fw firewall # defini el firewall IPv4 net # defini internet WAN IPv4 loc # definește rețeaua locală LAN
Pentru a vizualiza acest fișier de ajutor.
Shorewall-zone om
/etc / Shorewall / interfețe
Aici sunt stabilite plăcile de rețea, interfețe, firewall-ul va fi folosit și încadrate la zona în care ei trebuie să fie în fiecare. În plus, anumite proprietăți sunt identificate cu privire la interpretarea pachetele care intră sau ies dintr-o singură interfață.
Exemplu în acest dosar pentru firewall-ul pentru a conecta o rețea de internet, trei zone , firewall, lan y internet:
#OPȚIUNI zonă de interfață BROADCAST eth0 net detecta DHCP,tcpflags,routefilter,nosmurfs,logmartians,blacklist loc eth1 detecta tcpflags,nosmurfs,blacklist
Pentru a vizualiza acest fișier de ajutor.
om Shorewall-interfețe
/etc / Shorewall / politică
Aici politici sunt stabilite în mod implicit de a face cu pachete care călătoresc între diferite zone.
Politicile posibile sunt:
- ACCEPT: Conexiunea este acceptată
- DROP: Conexiunea este ignorat
- REJECT: Conexiunea este în mod explicit respinge
- QUEUE: Trimite cererea la o aplicație cu tinta QUEUE.
- CONTINUA: Permite cererea de conectare pentru a continua procesarea altor reguli sunt.
- NONE: Se presupune că această conexiune nu poate fi generat și nici reguli despre.
Exemplu în acest dosar pentru firewall-ul pentru a conecta o rețea de internet, trei zone , firewall, lan y internet:
# limită politică LogLevel destinație origine:Rafaga net loc ACCEPT # permite traficul din rețeaua locală la internet. net info toate DROP # Ne ignora conexiunile de pe Internet doriți să faceți la rețeaua locală și să le înregistreze în jurnalul de. toate toate REJECT informații # Noi respingem orice conexiune care nu sunt colectate în partea de sus și verificate.
Pentru a vizualiza acest fișier de ajutor.
Shorewall-politică om
/etc / Shorewall / reguli
Porturi aici de deschidere definite. Reguli DNAT defini, de asemenea, anumite pachete și înregistrare.
Exemplu în acest dosar pentru firewall-ul pentru a conecta o rețea de internet, trei zone , firewall, lan y internet:
# Acțiune Protocol Sursa portul de destinație portul de destinație inițial cu destinația Tarif / Limit SSH / ACCEPT lan $ FW # Se accepta conexiuni ssh de la LAN pentru firewall (clopot pentru a vedea cum vă configurați) RDP(DTA) loc net:192.168.1.23 # Servico redirecționa portul RDP 3389 IP LAN 192.168.1.23 ACCEPT $ FW loc ICMP # Ne permite ping de la firewall-ul la LAN ACCEPT $ FW ICMP net # Ping de la firewall-ul permite Internet
Pentru a vizualiza acest fișier de ajutor.
Shorewall-reguli om
/etc / Shorewall / MASQ
Acest fisier este folosit pentru a defini SNAT și masquerading. Noi configurați rețelele pe care doriți să vă conectați la Internet traversa un firewall.
Exemplu din acest fișier, astfel că firewall-ul permite LAN (eth1) conecta la internet (eth0):
# Porturi de interfață Adresa de subrețea IPSEC Protocolul eth0 eth1
Pentru a vizualiza acest fișier de ajutor.
om Shorewall-MASQ
Fișiere de configurare mas.
- gazde: Folosite pentru a asocia grupuri de gazde într-o zonă. Este esențial să se definească mai multe zone de pe o interfață.
- blacklist: Orice adresa IP sau bloc de adrese IP adăugate la acest dosar va fi pe lista neagră în mod automat.
- tuneluri: Acesta este utilizat pentru a configura automat reguli netfilter pentru diferite tipuri de tuneluri (IPsec, OpenVPN, etc)
- tcrules: Este folosit pentru a încărca reguli tc (instrument pentru configurarea kernel-ului de trafic de servicii de modelare) din firewall. Load Balancing.
- Pentru aspectul de odihnă la /etc / Shorewall
Fișiere Exemplu
Un alt mare avantaj este că acesta are mai multe exemple de fișiere shorewal cu presetări în care doar copiați și inserați în /etc / Shorewall fișierele oficiale de paravan de protecție corect.
Fișiere eșantion sunt în calea următoare:
/usr / share / doc / Shorewall-frecvente / Exemple
Există trei dosare cu fișiere de configurare implicite pentru următoarele.
- O interfață de rețea (solo WAN)
- Interfețele de rețea (WAN si LAN)
- Interfețe foarte res (WAN, LAN y DMZ)
Ar copia fișierele din directorul / etc / Shorewall firewall și a alerga encenderiamos, mai rapidă și mai ușoară nu poate fi.
Sper ca acest mare tutorial util, dacă vă place de hicieseis aprecia o +1 în rețelele sociale pentru a ajunge la mai mulți oameni sunt incantati. Vă mulțumesc foarte mult pentru citit articolul până la sfârșitul anului ;).
Foarte bine, Vă mulțumim pentru dvs. de intrare.
contribuție foarte bine acum mă întreb dacă aș fi vrut să blocheze un ip de rețea fără internet la fel de ieșire, deoarece aceasta ar putea fi realizat
Mi-ar schimba gateway-ul de la aceste IP și nu mai au conexiune la internet în Shorewall o poți face în / etc / Shorewall / norme adaugand
DENY lan:192.168.1.34 TCP net 80
Shove ip aveți nevoie sau subrețea aveți nevoie.
Astfel de,
Și dacă vrem să treacă tot traficul de pe un anumit ip?, Adică, de exemplu, un VIP, Nu vreau Shorewall blocați în na?.
Mulțumiri
În mod implicit, firewall permite eliminarea tuturor IP-uri locale (loc) și toate porturile de pe internet (net) deoarece indicat în dosarul /etc / Shorewall / politică cu intrarea net loc ACCEPT. Dacă sunteți ca computerele nu acces la Internet toate pot fi orice norme care /etc / Shorewall / reguli previne. Dacă ceea ce vrei este că din afara rețelei se poate conecta la un anumit calculator ce să faci este să își deschidă porturile sau dacă le dorim cu toții deschideți pune computerul în DMZ. În cazul în care nici una dintre aceste idei ceea ce te face să crezi ce trebuie să știți mai multe detalii pentru a vă răspunde în mod corespunzător.
Cum se poate efectua echilibrarea încărcării pentru două sau mai multe rețele WAN
Nu știu, Nu te pot ajuta, fac echilibrarea cu routere mikrotik