Настройка shorewall
Shorewall - межсетевой экран.
Начнем установку на CentOs5
Скачаем shorewall
cd /tmp && wget http://shorewall.ru/pub/shorewall/3.4/shorewall-3.4.8/shorewall-3.4.8.tgz
Распакуем и установим
gunzip shorewall-3.4.8.tgz && tar -xvf shorewall-3.4.8.tar && cd shorewall-3.4.8 && ./install.sh
Заменим в файле vi /etc/shorewall/shorewall.conf:
STARTUP_ENABLED=Yes
Определим интерфейсы
vi /etc/shorewall/interfaces
Интерефейс eth0 назовем int, а eth1 назовем loc и внесем запись вида:
int eth0 detect tcpflags,blacklist,routefilter,nosmurfs,logmartians
loc eth1 detect tcpflags,detectnets,nosmurfs
Определим зоны
vi /etc/shorewall/zones
fw firewall # описывается сам шлюз
int ipv4 # все то что за этим интерфейтом
loc ipv4 # все то что за этим интерфейтом
Включим маскарадинг
vi /etc/shorewall/masq
eth0 eth1 # все то, что за eth1 будет выходить во внешний мир под eth0
Включить перенаправление пакетов
vi /etc/sysctl.conf.
Задать параметр значения для net.ipv4.ip_forward = 1
Определим политику
vi /etc/shorewall/policy внесем:
#SOURCE DEST POLICY LOG
$FW int ACCEPT info #с фаервола на интерент разрешено
$FW loc ACCEPT info #с фаервола на локальную разрешено
int $FW REJECT info #с интернета на фаервол запрещено
int loc REJECT info #с интернета на локальную запрещено
loc int REJECT info #с локальной на интернет запрещено
loc $FW REJECT info #с локальной на фаервол запрещено
Определим правила
vi /etc/shorewall/rules
DNS/ACCEPT loc $FW #Разрешить DNS с локальной сети на шлюз
SSH/ACCEPT loc $FW #Разрешить SSH(Порт 22 tcp) с локальной сети на шлюз
Ping/ACCEPT loc $FW #Разрешить PING с локальной сети на шлюз
Ping/ACCEPT int $FW #Разрешить PING с интернета на шлюз
ACCEPT loc $FW tcp 25 #Разрешить SMTP с локальной сети на шлюз
ACCEPT int $FW udp 21 #Разрешить FTP c интернета на шлюз
ACCEPT loc $FW udp 21 #Разрешить FTP с локальной c интернета на шлюз
ACCEPT loc $FW tcp 443,1352,10000 #Так можно указать несколько портов
ACCEPT loc $FW tcp 10000:20000 #Указывается диапазон открытых портов от 10000 до 20000
ACCEPT loc:192.168.0.3 int #Так мы открыли выход в интернет компьютеру локальной сети с IP адресом loc:192.168.0.3
ACCEPT loc:~00-0D-61-xx-xx-xx int #Так мы открыли выход в интернет компьютеру локальной сети c мак адресом loc:~00-0D-61-xx-xx-xx
ACCEPT loc:192.168.0.3 int:213.xx.xx.xx udp 21 #Так мы открыли доступ локальному компьютеру толко на адрес 213.xx.xx.xx и только к 21 порту
Перекинуть порт
Если нам необходимо перекинуть порт с нашего внешнего IP адреса на IP локальной сети (например необходимо дать удаленный доступ к локальному компьютеру по RPD 3389 порт)
В vi /etc/shorewall/rules
ACCEPT int loc:192.168.0.10 tcp 3389 #Разрешаем доступ с интернета на локальный компьютер 192.168.0.10 на 3389 порт.
В vi /etc/shorewall/start Дописываем строку
iptables -t nat -A PREROUTING -p tcp -d 213.xx.xx.xx --dport 3389 -j DNAT --to-destination 192.168.0.10 # т.е. все то, что придет на IP 213.xx.xx.xx, протокол tcp и порт 3389 перенаправится на локальный компьютер 192.168.0.10
Запустим shorewall.
/etc/init.d/shorewall start
Афанасьев Роман Настройка Shorewall
Начнем установку на CentOs5
Скачаем shorewall
cd /tmp && wget http://shorewall.ru/pub/shorewall/3.4/shorewall-3.4.8/shorewall-3.4.8.tgz
Распакуем и установим
gunzip shorewall-3.4.8.tgz && tar -xvf shorewall-3.4.8.tar && cd shorewall-3.4.8 && ./install.sh
Заменим в файле vi /etc/shorewall/shorewall.conf:
STARTUP_ENABLED=Yes
Определим интерфейсы
vi /etc/shorewall/interfaces
Интерефейс eth0 назовем int, а eth1 назовем loc и внесем запись вида:
int eth0 detect tcpflags,blacklist,routefilter,nosmurfs,logmartians
loc eth1 detect tcpflags,detectnets,nosmurfs
Определим зоны
vi /etc/shorewall/zones
fw firewall # описывается сам шлюз
int ipv4 # все то что за этим интерфейтом
loc ipv4 # все то что за этим интерфейтом
Включим маскарадинг
vi /etc/shorewall/masq
eth0 eth1 # все то, что за eth1 будет выходить во внешний мир под eth0
Включить перенаправление пакетов
vi /etc/sysctl.conf.
Задать параметр значения для net.ipv4.ip_forward = 1
Определим политику
vi /etc/shorewall/policy внесем:
#SOURCE DEST POLICY LOG
$FW int ACCEPT info #с фаервола на интерент разрешено
$FW loc ACCEPT info #с фаервола на локальную разрешено
int $FW REJECT info #с интернета на фаервол запрещено
int loc REJECT info #с интернета на локальную запрещено
loc int REJECT info #с локальной на интернет запрещено
loc $FW REJECT info #с локальной на фаервол запрещено
Определим правила
vi /etc/shorewall/rules
DNS/ACCEPT loc $FW #Разрешить DNS с локальной сети на шлюз
SSH/ACCEPT loc $FW #Разрешить SSH(Порт 22 tcp) с локальной сети на шлюз
Ping/ACCEPT loc $FW #Разрешить PING с локальной сети на шлюз
Ping/ACCEPT int $FW #Разрешить PING с интернета на шлюз
ACCEPT loc $FW tcp 25 #Разрешить SMTP с локальной сети на шлюз
ACCEPT int $FW udp 21 #Разрешить FTP c интернета на шлюз
ACCEPT loc $FW udp 21 #Разрешить FTP с локальной c интернета на шлюз
ACCEPT loc $FW tcp 443,1352,10000 #Так можно указать несколько портов
ACCEPT loc $FW tcp 10000:20000 #Указывается диапазон открытых портов от 10000 до 20000
ACCEPT loc:192.168.0.3 int #Так мы открыли выход в интернет компьютеру локальной сети с IP адресом loc:192.168.0.3
ACCEPT loc:~00-0D-61-xx-xx-xx int #Так мы открыли выход в интернет компьютеру локальной сети c мак адресом loc:~00-0D-61-xx-xx-xx
ACCEPT loc:192.168.0.3 int:213.xx.xx.xx udp 21 #Так мы открыли доступ локальному компьютеру толко на адрес 213.xx.xx.xx и только к 21 порту
Перекинуть порт
Если нам необходимо перекинуть порт с нашего внешнего IP адреса на IP локальной сети (например необходимо дать удаленный доступ к локальному компьютеру по RPD 3389 порт)
В vi /etc/shorewall/rules
ACCEPT int loc:192.168.0.10 tcp 3389 #Разрешаем доступ с интернета на локальный компьютер 192.168.0.10 на 3389 порт.
В vi /etc/shorewall/start Дописываем строку
iptables -t nat -A PREROUTING -p tcp -d 213.xx.xx.xx --dport 3389 -j DNAT --to-destination 192.168.0.10 # т.е. все то, что придет на IP 213.xx.xx.xx, протокол tcp и порт 3389 перенаправится на локальный компьютер 192.168.0.10
Запустим shorewall.
/etc/init.d/shorewall start
Афанасьев Роман Настройка Shorewall
Отзывы и комментарии