Настройка shorewall

Категория: Безопасность | Автор: aromait | Опубликовано: 27.11.2009

Shorewall - межсетевой экран.

Начнем установку на CentOs5

Скачаем shorewall
cd /tmp && wget http://shorewall.ru/pub/shorewall/3.4/shorewall-3.4.8/shorewall-3.4.8.tgz

Распакуем и установим
gunzip shorewall-3.4.8.tgz && tar -xvf shorewall-3.4.8.tar && cd shorewall-3.4.8 && ./install.sh

Заменим в файле vi /etc/shorewall/shorewall.conf:
STARTUP_ENABLED=Yes

Определим интерфейсы
vi /etc/shorewall/interfaces

Интерефейс eth0 назовем int, а eth1 назовем loc и внесем запись вида:

int eth0 detect tcpflags,blacklist,routefilter,nosmurfs,logmartians

loc eth1 detect tcpflags,detectnets,nosmurfs

Определим зоны

vi /etc/shorewall/zones

fw firewall # описывается сам шлюз

int ipv4 # все то что за этим интерфейтом

loc ipv4 # все то что за этим интерфейтом

Включим маскарадинг

vi /etc/shorewall/masq

eth0 eth1 # все то, что за eth1 будет выходить во внешний мир под eth0

Включить перенаправление пакетов

vi /etc/sysctl.conf.

Задать параметр значения для net.ipv4.ip_forward = 1

Определим политику

vi /etc/shorewall/policy внесем:

#SOURCE DEST POLICY LOG

$FW int ACCEPT info #с фаервола на интерент разрешено

$FW loc ACCEPT info #с фаервола на локальную разрешено

int $FW REJECT info #с интернета на фаервол запрещено

int loc REJECT info #с интернета на локальную запрещено

loc int REJECT info #с локальной на интернет запрещено

loc $FW REJECT info #с локальной на фаервол запрещено

Определим правила

vi /etc/shorewall/rules

DNS/ACCEPT loc $FW #Разрешить DNS с локальной сети на шлюз

SSH/ACCEPT loc $FW #Разрешить SSH(Порт 22 tcp) с локальной сети на шлюз

Ping/ACCEPT loc $FW #Разрешить PING с локальной сети на шлюз

Ping/ACCEPT int $FW #Разрешить PING с интернета на шлюз

ACCEPT loc $FW tcp 25 #Разрешить SMTP с локальной сети на шлюз

ACCEPT int $FW udp 21 #Разрешить FTP c интернета на шлюз

ACCEPT loc $FW udp 21 #Разрешить FTP с локальной c интернета на шлюз

ACCEPT loc $FW tcp 443,1352,10000 #Так можно указать несколько портов

ACCEPT loc $FW tcp 10000:20000 #Указывается диапазон открытых портов от 10000 до 20000

ACCEPT loc:192.168.0.3 int #Так мы открыли выход в интернет компьютеру локальной сети с IP адресом loc:192.168.0.3

ACCEPT loc:~00-0D-61-xx-xx-xx int #Так мы открыли выход в интернет компьютеру локальной сети c мак адресом loc:~00-0D-61-xx-xx-xx

ACCEPT loc:192.168.0.3 int:213.xx.xx.xx udp 21 #Так мы открыли доступ локальному компьютеру толко на адрес 213.xx.xx.xx и только к 21 порту
Перекинуть порт

Если нам необходимо перекинуть порт с нашего внешнего IP адреса на IP локальной сети (например необходимо дать удаленный доступ к локальному компьютеру по RPD 3389 порт)

В vi /etc/shorewall/rules

ACCEPT int loc:192.168.0.10 tcp 3389 #Разрешаем доступ с интернета на локальный компьютер 192.168.0.10 на 3389 порт.

В vi /etc/shorewall/start Дописываем строку

iptables -t nat -A PREROUTING -p tcp -d 213.xx.xx.xx --dport 3389 -j DNAT --to-destination 192.168.0.10 # т.е. все то, что придет на IP 213.xx.xx.xx, протокол tcp и порт 3389 перенаправится на локальный компьютер 192.168.0.10

Запустим shorewall.

/etc/init.d/shorewall start
Афанасьев Роман Настройка Shorewall

Комментарии

К этой статье пока нет комментариев. Станьте первым! У нас гости не могут комментировать статьи. Пожалуйста авторизуйтесь или зарегистрируйтесь, чтобы прокомментировать.

Свежие комментарии

Нормальная тема.

Читать

Талантливый человек талантлив во всём! Будь как Паша! А ещё ты можешь ...

Можно выбрать.

Ой, шутник.

https://priornews.ru/zastrojshhik-iz-hmao-sravnil-ufas-s-prestupnoj-gr...