Настройка shorewall

Shorewall - межсетевой экран.

Начнем установку на CentOs5

Скачаем shorewall
cd /tmp && wget luxfine.ru

Распакуем и установим
gunzip shorewall-3.4.luxfine.ru && tar -xvf shorewall-3.4.luxfine.ru && cd shorewall-3.4.8 && ./luxfine.ru

Заменим в файле vi /etc/shorewall/luxfine.ru:
STARTUP_ENABLED=Yes

Определим интерфейсы
vi /etc/shorewall/interfaces

Интерефейс eth0 назовем int, а eth1 назовем loc и внесем запись вида:

int eth0 detect tcpflags,blacklist,routefilter,nosmurfs,logmartians

loc eth1 detect tcpflags,detectnets,nosmurfs

Определим зоны

vi /etc/shorewall/zones

fw firewall # описывается сам шлюз

int ipv4 # все то что за этим интерфейтом

loc ipv4 # все то что за этим интерфейтом

Включим маскарадинг

vi /etc/shorewall/masq

eth0 eth1 # все то, что за eth1 будет выходить во внешний мир под eth0

Включить перенаправление пакетов

vi /etc/luxfine.ru

Задать параметр значения для luxfine.ru_forward = 1

Определим политику

vi /etc/shorewall/policy внесем:

#SOURCE DEST POLICY LOG

$FW int ACCEPT info #с фаервола на интерент разрешено

$FW loc ACCEPT info #с фаервола на локальную разрешено

int $FW REJECT info #с интернета на фаервол запрещено

int loc REJECT info #с интернета на локальную запрещено

loc int REJECT info #с локальной на интернет запрещено

loc $FW REJECT info #с локальной на фаервол запрещено

Определим правила

vi /etc/shorewall/rules

DNS/ACCEPT loc $FW #Разрешить DNS с локальной сети на шлюз

SSH/ACCEPT loc $FW #Разрешить SSH(Порт 22 tcp) с локальной сети на шлюз

Ping/ACCEPT loc $FW #Разрешить PING с локальной сети на шлюз

Ping/ACCEPT int $FW #Разрешить PING с интернета на шлюз

ACCEPT loc $FW tcp 25 #Разрешить SMTP с локальной сети на шлюз

ACCEPT int $FW udp 21 #Разрешить FTP c интернета на шлюз

ACCEPT loc $FW udp 21 #Разрешить FTP с локальной c интернета на шлюз

ACCEPT loc $FW tcp 443,1352,10000 #Так можно указать несколько портов

ACCEPT loc $FW tcp 10000:20000 #Указывается диапазон открытых портов от 10000 до 20000

ACCEPT loc:192.168.0.3 int #Так мы открыли выход в интернет компьютеру локальной сети с IP адресом loc:192.168.0.3

ACCEPT loc:~00-0D-61-xx-xx-xx int #Так мы открыли выход в интернет компьютеру локальной сети c мак адресом loc:~00-0D-61-xx-xx-xx

ACCEPT loc:192.168.0.3 int:luxfine.ru udp 21 #Так мы открыли доступ локальному компьютеру толко на адрес luxfine.ru и только к 21 порту
Перекинуть порт

Если нам необходимо перекинуть порт с нашего внешнего IP адреса на IP локальной сети (например необходимо дать удаленный доступ к локальному компьютеру по RPD 3389 порт)

В vi /etc/shorewall/rules

ACCEPT int loc:192.168.0.10 tcp 3389 #Разрешаем доступ с интернета на локальный компьютер 192.168.0.10 на 3389 порт.

В vi /etc/shorewall/start Дописываем строку

iptables -t nat -A PREROUTING -p tcp -d luxfine.ru --dport 3389 -j DNAT --to-destination 192.168.0.10 # т.е. все то, что придет на IP luxfine.ru, протокол tcp и порт 3389 перенаправится на локальный компьютер 192.168.0.10

Запустим shorewall.

/etc/init.d/shorewall start
Афанасьев Роман Настройка Shorewall
15:34 12.11.2017



Отзывы и комментарии
Ваше имя (псевдоним):
Проверка на спам:

Введите символы с картинки:



Интересное

Вкусные рецепты: Рыбный пирог с рисом и яйцом, Тво

Рыбный пирог с рисом и яйцомРыбу разделать, слегка обжарить, яйцо отварить вкрутую и мелко порубить....

Почему покупатели игнорируют Ваши товары? Гипотеза

Гипотеза 2. Покупатели недостаточно осведомлены о товареПожалуй, вопрос "Почему покупатели игнорирую...

«Я все могу!» - новая религия?

«Хочешь жить и работать в Таиланде? Спроси меня, как!» «Жизнь в путешествиях ...

Самые главные особенности при составлении трудовог

Итак, вы продолжительное время бегали по собеседованиям и вот наконец-то нашли подходящую вакансию. ...

Почему «унылый дух сушит кости»?

В жизни, к сожалению, очень часто так случается, что сложившиеся обстоятельства или условия, в котор...

Вкусные рецепты: Томатно-сливовый кетчуп, С-Т &quo

Томатно-сливовый кетчупПомидоры нарежьте дольками, лук измельчите, чеснок пропустите через пресс. По...

Какими мы были, когда деревья были большими? Памят

Естественно, маленькими. Мелкими мы были, когда деревья были большими. Ну, не так чтобы совсем мелюз...

Как поднять продажи в своем магазине и привлечь по

Этот вопрос заботит всех малых предпринимателей, и это правильно, ведь доход своего дела является гл...

Комплексный ремонт дома - как сделать?

В случае если Вы решили сделать ремонт, то стоит думать не лишь над дизайном, но и над правильным пр...

«Ишапурский мушкет» Lee-Enfield SMLE .410. Как анг

И не только полицейским. Гладкоствольную модификацию винтовки Lee-Enfield калибра .410 с удовольстви...



О портале:

Наш интернет портал создан для читателей, желающих без остановки совершенствоваться во всех сферах жизни. Каждый для себя найдет что-то интересное и подчеркнет из статьи полезные вещи. На сайте описано огромное количество моментов, которым в повседневной жизни вы найдете практическое применение. Отсутствие навязчивой рекламы, политики и новостных лент, наличие легкого юмора и полезных текстов делает наш веб-портал приятным для чтения.

Содержательная и познавательная информация, которая сгенерированна на нашем ресурсе дает возможность ответить на отдельно интересующие вас вопросы. Для того, чтобы каждый посетитель на нашем портале смог в кротчайшие сроки отыскать нужную, для него информацию, мы максимально упростили интерфейс и улучшили систему поиска необходимой статьи. Теперь нет смысла расходовать огромное количество времени для поиска ответа на необходимый для вас вопрос.