Shorewall

Nastavení firewallu Shorewall pro přístup k serveru v lokální síti. Před nastavováním firewallu je dobré si přečíst dokumentaci k Shorewall. Toto není zaručený návod. Je to pouze souhrn mých zkušeností. Před začátkem nastavování prosím zálohujte adresář /etc/shorewall.

Nastavení portmap

Nastavení souboru /etc/hosts.allow

portmap :   192.168.1.0/255.255.255.0

Nastavení souboru /etc/hosts.deny

portmap :   ALL

Po nastavení je třeba provést restart služby portmap.

Nastavení shorewall

Nastavení souboru /etc/shorewall/interfaces

##################################################################
#ZONE     INTERFACE     BROADCAST     OPTIONS
net       eth0          detect
loc       eth1          detect
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE

Nastavení souboru /etc/shorewall/masq

##################################################################
#INTERFACE              SUBNET                       ADDRESS
#eth0                   eth1
eth0                    192.168.1.0/255.255.255.0
#LAST LINE -- ADD YOUR ENTRIES ABOVE THIS LINE -- DO NOT REMOVE

Nastavení souboru /etc/shorewall/policy

##################################################################
#SOURCE         DEST            POLICY          LOG LEVEL       LIMIT:BURST
loc             net             ACCEPT
fw              net             ACCEPT
net             all             DROP            info
all             all             REJECT          info
#LAST LINE -- ADD YOUR ENTRIES ABOVE THIS LINE -- DO NOT REMOVE

Nastavení souboru /etc/shorewall/routestopped

##################################################################
#INTERFACE      HOST(S)
eth1            -
#LAST LINE -- ADD YOUR ENTRIES ABOVE THIS LINE -- DO NOT REMOVE

Nastavení souboru /etc/shorewall/rules

##################################################################
#ACTION    SOURCE   DEST    PROTO   DEST   SOURCE   ORIGINAL   RATE   USER/
#                                   PORT   PORT(S)  DEST       LIMIT  GROUP
#
#          Allow Ping To And From Firewall
#
ACCEPT     net      fw      icmp    8      -
ACCEPT     loc      fw      icmp    8      -
#
#          Allow NFS connections from local to firewall
#
ACCEPT     loc      fw      tcp     111
ACCEPT     loc      fw      udp
#
#          Allow CUPS connections from local to firewall
#
ACCEPT     loc      fw      tcp     631
ACCEPT     loc      fw      tcp     9100
#
#          Allow www connections from local to net
#
REDIRECT   loc      3128    tcp     www    -
ACCEPT     fw       net     tcp     www
REDIRECT   loc      3128    tcp     www    -
ACCEPT     fw       net     tcp     www
#LAST LINE -- ADD YOUR ENTRIES ABOVE THIS LINE -- DO NOT REMOVE

Nastavení souboru /etc/shorewall/zones

##################################################################
#ZONE   DISPLAY         COMMENTS
net     Net             Internet zone
loc     Local           Local
#LAST LINE -- ADD YOUR ENTRIES ABOVE THIS LINE -- DO NOT REMOVE

Po nastavení je třeba provést restart služby shorewall. Je vhodné provést zálohu upravených konfiguračních souborů interfaces, masq, policy, routestopped, rules a zones pro případ rychlé obnovy nastavení.

Home