Shorewall - Firewall ta' Livell Għoli għall-Konfigurazzjoni ta' Servers Linux

It-twaqqif ta 'firewall fil-Linux jista' jkun skoraġġanti ħafna għal newbie, jew għal xi ħadd mhux familjari ħafna ma 'iptables. Fortunatament, hemm soluzzjoni faċli ħafna biex tużah f'Shorewall.

F'dan it-tutorja b'ħafna partijiet, ser nibda b'Shorewall, u nmexxik f'xi suġġetti aktar avvanzati b'din is-sistema tal-firewall tal-biża '.

X'inhu Shorewall?

Shorewall huwa essenzjalment front-end għal iptables, iżda huwa front-end tal-ambjent tal-linja tal-kmand li juża numru ta 'fajls ta' test għall-konfigurazzjoni tiegħu. Filwaqt li Shorewall hija sistema robusta tal-firewall li tista 'tiġi skalata fuq netwerks kbar ħafna li jservu bosta magni, se nibdew b'konfigurazzjoni bażika b'żewġ interface u nagħmlu l-affarijiet bażiċi.

Konfigurazzjoni b'żewġ interfaces tikkonsisti f'magna b'żewġ portijiet Ethernet, waħda li tidħol, u waħda li toħroġ għan-netwerk lokali.

Installazzjoni ta 'Shorewall fil-Linux

Shorewall jista 'jiġi installat bl-użu ta' għodod tal-maniġer tal-pakketti apt-get u yum.

$ sudo apt-get install shorewall6
$ sudo yum install shorewall6

Wara l-installazzjoni, għandna bżonn nikkopja konfigurazzjoni ta 'kampjun mid-direttorju /usr/share/doc/shorewall għad-direttorju default ta' Shorewall /etc/shorewall.

$ sudo cp /usr/share/doc/shorewall/example/two-interfaces/* /etc/shorewall

U mbagħad cd għal /etc/shorewall.

$ cd /etc/shorewall

Jekk nagħtu ħarsa f'dan id-direttorju, naraw mazz ta 'fajls u fajl shorewall.conf. Shorewall iqis in-netwerk bħala grupp ta 'żoni differenti, għalhekk l-ewwel fajl li rridu nagħtu ħarsa huwa l-fajl /etc/shorewall/zones.

Hawnhekk, naraw li hemm tliet żoni definiti awtomatikament: net, loc, u kollha. Huwa importanti li wieħed jinnota li Shorewall jittratta l-magna tal-firewall nnifisha bħala ż-żona tagħha stess u jaħżenha f'varjabbli msejħa $FW. Se tara din il-varjabbli fil-bqija tal-fajls tal-konfigurazzjoni.

Il-fajl /etc/shorewall/zones huwa pjuttost jispjega lilu nnifsu. Għandek iż-żona nett (interface li tiffaċċja l-internet), iż-żona loc (interface li tiffaċċja LAN), u kollox, li huwa kollox.

Din is-setup tagħti dan li ġej:

  1. Tippermetti t-talbiet kollha ta' konnessjoni miż-żona loc (LAN) għaż-żona netta (Internet).
  2. Twaqqa' t-talbiet kollha ta' konnessjoni (jinjora) miż-żona tan-net għall-firewall u l-LAN.
  3. Jirrifjuta u jirreġistra t-talbiet l-oħra kollha.

Il-bit LOG LEVEL għandu jkun familjari għal kull min għamel amministrazzjoni ma 'Apache, MySQL, jew kwalunkwe numru ieħor ta' programmi FOSS oħra. F'dan il-każ, qed ngħidu lil Shorewall biex juża l-livell ta' informazzjoni tal-illoggjar.

Jekk tixtieq li jkollok il-firewall tiegħek disponibbli għalik biex tamministra mil-LAN tiegħek, tista' żżid il-linji li ġejjin mal-fajl /etc/shorewall/policy tiegħek.

#SOURCE		DEST	POLICY		LOG		LEVEL		LIMIT:BURST
loc			$FW		ACCEPT
$FW			loc		ACCEPT

Issa li ż-żoni u l-politika tagħna huma stabbiliti, irridu kkonfiguraw l-interfaces tagħna. Inti tagħmel dan billi teditja l-fajl /etc/shorewall/interfaces.

Hawnhekk, waqqafna l-interface tagħna li tiffaċċja l-internet bħala eth0 għaż-żona netta. Fuq in-naħa LAN tagħna, waqqafna l-interface l-oħra, eth1, għaż-żona loc. Jekk jogħġbok aġġusta dan il-fajl biex jiftaħ il-konfigurazzjoni tiegħek sew.

L-għażliet varji li tista 'tpoġġi għal waħda minn dawn l-interfaces hija estensiva, u huma spjegati aħjar fid-dettall fuq il-paġna man.

$ man shorewall-interfaces

Taħriġ ta 'malajr ta' xi wħud minnhom huwa kif ġej:

  1. nosmurfs – iffiltra pakketti bl-indirizz tax-xandir bħala sors.
  2. logmartians – log pakketti b'indirizz tas-sors impossibbli.
  3. routefilter – filtrazzjoni tar-rotta tal-qalba għall-anti-spoofing.

Naturalment, issa li s-sistema tagħna hija firewalled, ser ikollna bżonn ċerti konnessjonijiet li jitħallew jgħaddu sabiex dak li rridu nagħmlu jsir. Inti tiddefinixxi dawn fil-fajl tar-regoli f'/etc/shorewall/rules.

Dan il-fajl jidher konfuż għall-ewwel, prinċipalment minħabba li l-kolonni jikkoinċidu, iżda l-intestaturi huma pjuttost jispjegaw lilhom infushom. L-ewwel, għandek il-kolonna AZZJONI, li tiddeskrivi dak li trid twettaq.

Sussegwentement, għandek header SOURCE fejn tiddefinixxi ż-żona fejn joriġina l-pakkett. Imbagħad, għandek id-DEST, jew id-destinazzjoni tiegħek, li hija ż-żona jew l-indirizz IP tad-destinazzjoni. Ejja nuża eżempju.

Ejja ngħidu li trid tħaddem server SSH wara l-firewall tiegħek fuq il-magna bl-indirizz IP ta '192.168.1.25. Mhux biss ser ikollok tiftaħ port fil-firewall tiegħek, iżda ser ikollok tgħid lill-firewall li kwalunkwe traffiku li ġej fuq il-port 22 jeħtieġ li jiġi mgħoddi lejn il-magna f'192.168.1.25.

Dan huwa magħruf bħala Port Forwarding. Hija karatteristika komuni fuq il-biċċa l-kbira tal-firewall/routers. F'/etc/shorewall/rules, int twettaq dan billi żżid linja bħal din:

SSH(DNAT)	net		loc:192.168.1.25

Hawn fuq, aħna ddefinijna kwalunkwe pakketti destinati SSH li ġejjin miż-żona netta għall-firewall għandhom jiġu mgħoddija (DNAT) għall-port 22 fuq magna bl-indirizz 192.168.1.25.

Din tissejjaħ Network Address Translation jew NAT. Id-\D sempliċement tgħid lil Shorewall li dan huwa NAT għal indirizz tad-destinazzjoni.

Sabiex dan jaħdem, irid ikollok l-appoġġ NAT attivat fil-kernel tiegħek. Jekk għandek bżonn NAT u m'għandekx, jekk jogħġbok ara t-tutorja tiegħi dwar il-Kompilazzjoni mill-ġdid ta' Kernel Debian.

Links ta' Referenza

Homepage Shorewall

Fl-artiklu li jmiss, se nimxu permezz ta 'xi suġġetti aktar avvanzati, iżda għandu jkun hemm ħafna hawn biex tibda bihom għalissa. Bħal dejjem, jekk jogħġbok agħti ħarsa lejn il-paġni man għal fehim aktar fil-fond.