Ubuntu logo
Shorewall

Shorewall tűzfal

A Shorewall tűzfal egy iptables konfiguráló eszköz, mely könnyen kezelhető és beállítható program.

Telepítés:

sudo apt-get install shorewall

Beállítás, használat:

A /usr/share/doc/shorewall könyvtár tartalmazza az alapértelmezett konfigurációs- és példafájlokat, ezeket másoljuk át az /etc/shorewall könyvtárba:
sudo cp /usr/share/doc/shorewall/default-config/* /etc/shorewall  '-alapértelmezett konfigurációs állományok
sudo cp /usr/share/doc/shorewall/examples/x-interfaces/* /etc/shorewall  '-példafájlok, ahol az x (one, two, three) a hálózati interfészek számát jelöli

Több hálózati kártya esetén különböző példa konfigurációk vannak. Pl.: az eth0 interface jelölheti az internethez csatlakozó hálókártyát, az eth1 pedig a lokális hálózatot. Most az egy hálókártyás beállításokat írom le.

/etc/shorewall/interfaces  '-itt adhatjuk meg, hogy milyen csatolók vannak jelen és azok melyik zónához tartoznak. A hálózati csatolókat és azok beállításait az ifconfig paranccsal kérhetjük le.
/etc/shorewall/policy  '-alapvető szabályok, minden befelé jövő forgalmat tiltsunk, ez az alapértelmezett
/etc/shorewall/rules  '-szabályok, többek között itt lehet portokat nyitni a befelé jövő forgalom számára

Pl.:
Művelet forrás cél protokoll célport forrásport
ACCEPT net $FW tcp 22 -  '-a 22-es port nyitása a net felől, minden gép számára
ACCEPT net:192.168.1.0/26 $FW  '-gépeket is tudunk engedélyezni, teljes hozzáféréssel
ACCEPT net:192.168.1.21 $FW tcp 22 -  '-csak bizonyos gép(ek) számára nyitjuk a 22-es portot

/etc/shorewall/zones  '-zónák definiálása (fw, net, loc, dmz)
Ahol az fw:tűzfal, net:internet, loc:lokális hálózat, dmz:demilitarizált zóna.

Tűzfal bekapcsolása indításkor és rendszerindításkor:

sudo nano /etc/shorewall/shorewall.conf
STARTUP_ENABLED=Yes

sudo nano /etc/default/shorewall
startup=1

Bármilyen módosítás után a shorewall-t újra kell indítani:

sudo /etc/init.d/shorewall restart

Tűzfal állapotának lekérdezése:

sudo shorewall status

Tűzfal tesztelése egy másik gépről:

Telepítsük fel az nmap csomagot egy másik gépen:
sudo apt-get install nmap

Futassuk a következő parancsot:
nmap -vAPN 192.168.1.10  '-az IP helyére a vizsgálandó gép címét írjuk

© fiti 2010