Настройка shorewall

Shorewall - межсетевой экран.

Начнем установку на CentOs5

Скачаем shorewall
cd /tmp && wget luxfine.ru

Распакуем и установим
gunzip shorewall-3.4.luxfine.ru && tar -xvf shorewall-3.4.luxfine.ru && cd shorewall-3.4.8 && ./luxfine.ru

Заменим в файле vi /etc/shorewall/luxfine.ru:
STARTUP_ENABLED=Yes

Определим интерфейсы
vi /etc/shorewall/interfaces

Интерефейс eth0 назовем int, а eth1 назовем loc и внесем запись вида:

int eth0 detect tcpflags,blacklist,routefilter,nosmurfs,logmartians

loc eth1 detect tcpflags,detectnets,nosmurfs

Определим зоны

vi /etc/shorewall/zones

fw firewall # описывается сам шлюз

int ipv4 # все то что за этим интерфейтом

loc ipv4 # все то что за этим интерфейтом

Включим маскарадинг

vi /etc/shorewall/masq

eth0 eth1 # все то, что за eth1 будет выходить во внешний мир под eth0

Включить перенаправление пакетов

vi /etc/luxfine.ru

Задать параметр значения для luxfine.ru_forward = 1

Определим политику

vi /etc/shorewall/policy внесем:

#SOURCE DEST POLICY LOG

$FW int ACCEPT info #с фаервола на интерент разрешено

$FW loc ACCEPT info #с фаервола на локальную разрешено

int $FW REJECT info #с интернета на фаервол запрещено

int loc REJECT info #с интернета на локальную запрещено

loc int REJECT info #с локальной на интернет запрещено

loc $FW REJECT info #с локальной на фаервол запрещено

Определим правила

vi /etc/shorewall/rules

DNS/ACCEPT loc $FW #Разрешить DNS с локальной сети на шлюз

SSH/ACCEPT loc $FW #Разрешить SSH(Порт 22 tcp) с локальной сети на шлюз

Ping/ACCEPT loc $FW #Разрешить PING с локальной сети на шлюз

Ping/ACCEPT int $FW #Разрешить PING с интернета на шлюз

ACCEPT loc $FW tcp 25 #Разрешить SMTP с локальной сети на шлюз

ACCEPT int $FW udp 21 #Разрешить FTP c интернета на шлюз

ACCEPT loc $FW udp 21 #Разрешить FTP с локальной c интернета на шлюз

ACCEPT loc $FW tcp 443,1352,10000 #Так можно указать несколько портов

ACCEPT loc $FW tcp 10000:20000 #Указывается диапазон открытых портов от 10000 до 20000

ACCEPT loc:192.168.0.3 int #Так мы открыли выход в интернет компьютеру локальной сети с IP адресом loc:192.168.0.3

ACCEPT loc:~00-0D-61-xx-xx-xx int #Так мы открыли выход в интернет компьютеру локальной сети c мак адресом loc:~00-0D-61-xx-xx-xx

ACCEPT loc:192.168.0.3 int:luxfine.ru udp 21 #Так мы открыли доступ локальному компьютеру толко на адрес luxfine.ru и только к 21 порту
Перекинуть порт

Если нам необходимо перекинуть порт с нашего внешнего IP адреса на IP локальной сети (например необходимо дать удаленный доступ к локальному компьютеру по RPD 3389 порт)

В vi /etc/shorewall/rules

ACCEPT int loc:192.168.0.10 tcp 3389 #Разрешаем доступ с интернета на локальный компьютер 192.168.0.10 на 3389 порт.

В vi /etc/shorewall/start Дописываем строку

iptables -t nat -A PREROUTING -p tcp -d luxfine.ru --dport 3389 -j DNAT --to-destination 192.168.0.10 # т.е. все то, что придет на IP luxfine.ru, протокол tcp и порт 3389 перенаправится на локальный компьютер 192.168.0.10

Запустим shorewall.

/etc/init.d/shorewall start
Афанасьев Роман Настройка Shorewall
15:34 12.11.2017



Отзывы и комментарии
Ваше имя (псевдоним):
Проверка на спам:

Введите символы с картинки:



Интересное

Какие тайны хранит восточная красавица гортензия?

Прелестная обманщица из семейства гортензиевых является обрядовым растением в ряде стран с буддийски...

О модернизации шкворневого узла на УАЗ Патриот

Владельцев, а/м УАЗ с модернизацией шкворневого узла (с втулок на вкладыши) не покидает вопрос – Зач...

Фильм в подарок «Ёлки»

Название фильма Ёлки Оригинальное название Ёлки Кому можно подарить влюблённым парам...

Ремесло лекаря - не дамское дело?

Работа врача – одна из древнейших, так как повреждения и болезни сопровождают человечество со времен...

Решетки вентиляционные для фальшпола

Вентиляционные панели или решетки для пола, а точнее для фальшпола применяются для обеспечения цирку...

А что у вас в «долгом ящике», или Почему мы отклад

Казалось бы, каждый знает, что время не резиновое. И если есть важная задача или проблема, нужн...

Как самому справиться с ремонтом

Каждый мужчина, в своей жизни, встречался с ремонтом или стройкой квартиры или офиса. Это мог быть р...

Как очистить свою душу от обид?

У каждого из нас имеются собственные представления о боге, о вере и о душе. Кто-то её чувствует в се...

Ценные списки. А вы составили?

Составляете ли вы список продуктов, прежде чем отправиться в магазин? Удобно, избавляет от недо...

Плёнка рукавная полимерная: сферы применения

Плёнки полимерные – сплошные слои полимеров толщиной до 0,2—0,3 мм. Их производят из природных, иску...



О информационном портале:

Наш интернет портал создан для читателей, желающих без остановки совершенствоваться во всех сферах жизни. Каждый для себя найдет что-то интересное и подчеркнет из статьи полезные вещи. На сайте описано огромное количество моментов, которым в повседневной жизни вы найдете практическое применение. Отсутствие навязчивой рекламы, политики и новостных лент, наличие легкого юмора и полезных текстов делает наш веб-портал приятным для чтения.

Содержательная и познавательная информация, которая сгенерированна на нашем ресурсе дает возможность ответить на отдельно интересующие вас вопросы. Для того, чтобы каждый посетитель на нашем портале смог в кротчайшие сроки отыскать нужную, для него информацию, мы максимально упростили интерфейс и улучшили систему поиска необходимой статьи. Теперь нет смысла расходовать огромное количество времени для поиска ответа на необходимый для вас вопрос.