A Shorewall tűzfal egy iptables konfiguráló eszköz, mely könnyen kezelhető és beállítható program.
sudo apt-get install shorewall
A /usr/share/doc/shorewall könyvtár tartalmazza az alapértelmezett konfigurációs- és példafájlokat, ezeket másoljuk át az /etc/shorewall könyvtárba:
sudo cp /usr/share/doc/shorewall/default-config/* /etc/shorewall '-alapértelmezett konfigurációs állományok
sudo cp /usr/share/doc/shorewall/examples/x-interfaces/* /etc/shorewall '-példafájlok, ahol az x (one, two, three) a hálózati interfészek számát jelöli
Több hálózati kártya esetén különböző példa konfigurációk vannak. Pl.: az eth0 interface jelölheti az internethez csatlakozó hálókártyát, az eth1 pedig a lokális hálózatot. Most az egy hálókártyás beállításokat írom le.
/etc/shorewall/interfaces '-itt adhatjuk meg, hogy milyen csatolók vannak jelen és azok melyik zónához tartoznak. A hálózati csatolókat és azok beállításait az ifconfig paranccsal kérhetjük le.
/etc/shorewall/policy '-alapvető szabályok, minden befelé jövő forgalmat tiltsunk, ez az alapértelmezett
/etc/shorewall/rules '-szabályok, többek között itt lehet portokat nyitni a befelé jövő forgalom számára
Pl.:
Művelet forrás cél protokoll célport forrásport
ACCEPT net $FW tcp 22 - '-a 22-es port nyitása a net felől, minden gép számára
ACCEPT net:192.168.1.0/26 $FW '-gépeket is tudunk engedélyezni, teljes hozzáféréssel
ACCEPT net:192.168.1.21 $FW tcp 22 - '-csak bizonyos gép(ek) számára nyitjuk a 22-es portot
/etc/shorewall/zones '-zónák definiálása (fw, net, loc, dmz)
Ahol az fw:tűzfal, net:internet, loc:lokális hálózat, dmz:demilitarizált zóna.
sudo nano /etc/shorewall/shorewall.conf
STARTUP_ENABLED=Yes
sudo nano /etc/default/shorewall
startup=1
sudo /etc/init.d/shorewall restart
sudo shorewall status
Telepítsük fel az nmap csomagot egy másik gépen:
sudo apt-get install nmap
Futassuk a következő parancsot:
nmap -vAPN 192.168.1.10 '-az IP helyére a vizsgálandó gép címét írjuk
© fiti 2010