fbpx

Налаштування shorewall

Shorewall – міжмережевий екран.
Почнемо установку на CentOs5
Завантажити shorewall
cd /tmp && wget
Распакуем і встановимо
gunzip shorewall-3.4.8.tgz && tar -xvf shorewall-3.4.8.tar && cd shorewall-3.4.8 && ./install.sh
Замінимо в файлі vi /etc/shorewall/shorewall.conf:
STARTUP_ENABLED=Yes
Визначимо інтерфейси
vi /etc/shorewall/interfaces
Интерефейс eth0 назвемо int, а eth1 назвемо loc і внесемо запис виду:
int eth0 detect tcpflags,blacklist,routefilter,nosmurfs,logmartians
loc eth1 detect tcpflags,detectnets,nosmurfs
Визначимо зони
vi /etc/shorewall/zones
fw firewall # описується сам шлюз
int ipv4 # все те що за цим интерфейтом
loc ipv4 # все те що за цим интерфейтом
Включимо маскарадинг
vi /etc/shorewall/masq
eth0 eth1 # все те, що за eth1 буде виходити на зовнішній світ під eth0
Включити перенаправлення пакетів
vi /etc/sysctl.conf.
Задати параметр значення для net.ipv4.ip_forward = 1
Визначимо політику
vi /etc/shorewall/policy внесемо:
#SOURCE DEST POLICY LOG
$FW int ACCEPT info #з фаєрволу на інтерент дозволено
$FW loc ACCEPT info #з фаєрволу на локальну дозволено
int $FW REJECT info #з інтернету на фаєрвол заборонено
int loc REJECT info #з інтернету на локальну заборонено
loc int REJECT info #з локальної на інтернет заборонено
loc $FW REJECT info #з локальної на фаєрвол заборонено
Визначимо правила
vi /etc/shorewall/rules
DNS/ACCEPT loc $FW #Дозволити DNS з локальної мережі на шлюз
SSH/ACCEPT loc $FW #Дозволити SSH(Порт 22 tcp) з локальної мережі на шлюз
Ping/ACCEPT loc $FW #Дозволити PING з локальної мережі на шлюз
Ping/ACCEPT int $FW #Дозволити PING з інтернету на шлюз
ACCEPT loc $FW tcp 25 #Дозволити SMTP з локальної мережі на шлюз
ACCEPT int $FW udp 21 #Дозволити FTP c інтернету на шлюз
ACCEPT loc $FW udp 21 #Дозволити FTP з локальної c інтернету на шлюз
ACCEPT loc $FW tcp 443,1352,10000 #Так можна вказати кілька портів
ACCEPT loc $FW tcp 10000:20000 #Вказується діапазон відкритих портів від 10000 до 20000
ACCEPT loc:192.168.0.3 int #Так ми відкрили вихід в інтернет комп’ютера локальної мережі з IP адресою loc:192.168.0.3
ACCEPT loc:~00-0D-61-xx-xx-xx int #Так ми відкрили вихід в інтернет комп’ютера локальної мережі з мак адресою loc:~00-0D-61-xx-xx-xx
ACCEPT loc:192.168.0.3 int:213.xx.xx.xx udp 21 #Так ми відкрили доступ локального комп’ютера тілки на адресу 213.xx.xx.xx і тільки до 21 порту
Перекинути порт
Якщо нам необхідно перекинути порт з нашого зовнішнього IP адреси IP локальної мережі (наприклад необхідно дати віддалений доступ до локального комп’ютера за RPD порт 3389)
У vi /etc/shorewall/rules
ACCEPT int loc:192.168.0.10 tcp 3389 #Дозволяємо доступ з інтернету на локальний комп’ютер 192.168.0.10 на порт 3389.
У vi /etc/shorewall/start Дописуємо рядок
iptables -t nat -A PREROUTING -p tcp -d 213.xx.xx.xx –dport 3389 -j DNAT –to-destination 192.168.0.10 # тобто все те, що прийде на IP 213.xx.xx.xx, протокол tcp порт 3389 перенаправится на локальний комп’ютер 192.168.0.10
Запустимо shorewall.
/etc/init.d/shorewall start
Афанасьєв Роман
Налаштування Shorewall