Shorewall - Firewall ta' Livell Għoli għall-Konfigurazzjoni ta' Servers Linux
It-twaqqif ta 'firewall fil-Linux jista' jkun skoraġġanti ħafna għal newbie, jew għal xi ħadd mhux familjari ħafna ma 'iptables. Fortunatament, hemm soluzzjoni faċli ħafna biex tużah f'Shorewall.
F'dan it-tutorja b'ħafna partijiet, ser nibda b'Shorewall, u nmexxik f'xi suġġetti aktar avvanzati b'din is-sistema tal-firewall tal-biża '.
X'inhu Shorewall?
Shorewall huwa essenzjalment front-end għal iptables, iżda huwa front-end tal-ambjent tal-linja tal-kmand li juża numru ta 'fajls ta' test għall-konfigurazzjoni tiegħu. Filwaqt li Shorewall hija sistema robusta tal-firewall li tista 'tiġi skalata fuq netwerks kbar ħafna li jservu bosta magni, se nibdew b'konfigurazzjoni bażika b'żewġ interface u nagħmlu l-affarijiet bażiċi.
Konfigurazzjoni b'żewġ interfaces tikkonsisti f'magna b'żewġ portijiet Ethernet, waħda li tidħol, u waħda li toħroġ għan-netwerk lokali.
Installazzjoni ta 'Shorewall fil-Linux
Shorewall jista 'jiġi installat bl-użu ta' għodod tal-maniġer tal-pakketti apt-get u yum.
$ sudo apt-get install shorewall6
$ sudo yum install shorewall6
Wara l-installazzjoni, għandna bżonn nikkopja konfigurazzjoni ta 'kampjun mid-direttorju /usr/share/doc/shorewall għad-direttorju default ta' Shorewall /etc/shorewall.
$ sudo cp /usr/share/doc/shorewall/example/two-interfaces/* /etc/shorewall
U mbagħad cd għal /etc/shorewall.
$ cd /etc/shorewall
Jekk nagħtu ħarsa f'dan id-direttorju, naraw mazz ta 'fajls u fajl shorewall.conf. Shorewall iqis in-netwerk bħala grupp ta 'żoni differenti, għalhekk l-ewwel fajl li rridu nagħtu ħarsa huwa l-fajl /etc/shorewall/zones.
Hawnhekk, naraw li hemm tliet żoni definiti awtomatikament: net, loc, u kollha. Huwa importanti li wieħed jinnota li Shorewall jittratta l-magna tal-firewall nnifisha bħala ż-żona tagħha stess u jaħżenha f'varjabbli msejħa $FW. Se tara din il-varjabbli fil-bqija tal-fajls tal-konfigurazzjoni.
Il-fajl /etc/shorewall/zones huwa pjuttost jispjega lilu nnifsu. Għandek iż-żona nett (interface li tiffaċċja l-internet), iż-żona loc (interface li tiffaċċja LAN), u kollox, li huwa kollox.
Din is-setup tagħti dan li ġej:
- Tippermetti t-talbiet kollha ta' konnessjoni miż-żona loc (LAN) għaż-żona netta (Internet).
- Twaqqa' t-talbiet kollha ta' konnessjoni (jinjora) miż-żona tan-net għall-firewall u l-LAN.
- Jirrifjuta u jirreġistra t-talbiet l-oħra kollha.
Il-bit LOG LEVEL għandu jkun familjari għal kull min għamel amministrazzjoni ma 'Apache, MySQL, jew kwalunkwe numru ieħor ta' programmi FOSS oħra. F'dan il-każ, qed ngħidu lil Shorewall biex juża l-livell ta' informazzjoni tal-illoggjar.
Jekk tixtieq li jkollok il-firewall tiegħek disponibbli għalik biex tamministra mil-LAN tiegħek, tista' żżid il-linji li ġejjin mal-fajl /etc/shorewall/policy tiegħek.
#SOURCE DEST POLICY LOG LEVEL LIMIT:BURST loc $FW ACCEPT $FW loc ACCEPT
Issa li ż-żoni u l-politika tagħna huma stabbiliti, irridu kkonfiguraw l-interfaces tagħna. Inti tagħmel dan billi teditja l-fajl /etc/shorewall/interfaces.
Hawnhekk, waqqafna l-interface tagħna li tiffaċċja l-internet bħala eth0 għaż-żona netta. Fuq in-naħa LAN tagħna, waqqafna l-interface l-oħra, eth1, għaż-żona loc. Jekk jogħġbok aġġusta dan il-fajl biex jiftaħ il-konfigurazzjoni tiegħek sew.
L-għażliet varji li tista 'tpoġġi għal waħda minn dawn l-interfaces hija estensiva, u huma spjegati aħjar fid-dettall fuq il-paġna man.
$ man shorewall-interfaces
Taħriġ ta 'malajr ta' xi wħud minnhom huwa kif ġej:
- nosmurfs – iffiltra pakketti bl-indirizz tax-xandir bħala sors.
- logmartians – log pakketti b'indirizz tas-sors impossibbli.
- routefilter – filtrazzjoni tar-rotta tal-qalba għall-anti-spoofing.
Naturalment, issa li s-sistema tagħna hija firewalled, ser ikollna bżonn ċerti konnessjonijiet li jitħallew jgħaddu sabiex dak li rridu nagħmlu jsir. Inti tiddefinixxi dawn fil-fajl tar-regoli f'/etc/shorewall/rules.
Dan il-fajl jidher konfuż għall-ewwel, prinċipalment minħabba li l-kolonni jikkoinċidu, iżda l-intestaturi huma pjuttost jispjegaw lilhom infushom. L-ewwel, għandek il-kolonna AZZJONI, li tiddeskrivi dak li trid twettaq.
Sussegwentement, għandek header SOURCE fejn tiddefinixxi ż-żona fejn joriġina l-pakkett. Imbagħad, għandek id-DEST, jew id-destinazzjoni tiegħek, li hija ż-żona jew l-indirizz IP tad-destinazzjoni. Ejja nuża eżempju.
Ejja ngħidu li trid tħaddem server SSH wara l-firewall tiegħek fuq il-magna bl-indirizz IP ta '192.168.1.25. Mhux biss ser ikollok tiftaħ port fil-firewall tiegħek, iżda ser ikollok tgħid lill-firewall li kwalunkwe traffiku li ġej fuq il-port 22 jeħtieġ li jiġi mgħoddi lejn il-magna f'192.168.1.25.
Dan huwa magħruf bħala Port Forwarding. Hija karatteristika komuni fuq il-biċċa l-kbira tal-firewall/routers. F'/etc/shorewall/rules, int twettaq dan billi żżid linja bħal din:
SSH(DNAT) net loc:192.168.1.25
Hawn fuq, aħna ddefinijna kwalunkwe pakketti destinati SSH li ġejjin miż-żona netta għall-firewall għandhom jiġu mgħoddija (DNAT) għall-port 22 fuq magna bl-indirizz 192.168.1.25.
Din tissejjaħ Network Address Translation jew NAT. Id-\D sempliċement tgħid lil Shorewall li dan huwa NAT għal indirizz tad-destinazzjoni.
Sabiex dan jaħdem, irid ikollok l-appoġġ NAT attivat fil-kernel tiegħek. Jekk għandek bżonn NAT u m'għandekx, jekk jogħġbok ara t-tutorja tiegħi dwar il-Kompilazzjoni mill-ġdid ta' Kernel Debian.
Links ta' Referenza
Homepage Shorewall
Fl-artiklu li jmiss, se nimxu permezz ta 'xi suġġetti aktar avvanzati, iżda għandu jkun hemm ħafna hawn biex tibda bihom għalissa. Bħal dejjem, jekk jogħġbok agħti ħarsa lejn il-paġni man għal fehim aktar fil-fond.