Shorewall: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
(accounting) |
(ips blocken) |
||
Zeile 2: | Zeile 2: | ||
als Firewall wird shorewall (mit iptables/netfilter) verwendet. | als Firewall wird shorewall (mit iptables/netfilter) verwendet. | ||
=Konfiguration= | |||
nach der Installation wird entsprechend konfiguriert. Folgendes geändert, der Rest default. | nach der Installation wird entsprechend konfiguriert. Folgendes geändert, der Rest default. | ||
Zeile 83: | Zeile 84: | ||
COUNT web - eth0 | COUNT web - eth0 | ||
</pre> | </pre> | ||
=Betrieb= | |||
ein | ein | ||
Zeile 89: | Zeile 92: | ||
shorewall start | shorewall start | ||
startet das ganze. | startet das ganze. | ||
=IP-Adressen blocken= | |||
Sind mal wieder böse Leute im Netz unterwegs, kann man diese einfach sperren, bzw. droppen: | |||
shorewall drop 61.129.57.x | |||
[[Category:Linux]] | [[Category:Linux]] |
Version vom 20. Februar 2007, 00:15 Uhr
Ziel, alles von aussen sperren, nach innen nur 'named' port, wie z.b. 22(ssh),25(smtp),80(http),443(https),993(imaps),995(pop3s) als Firewall wird shorewall (mit iptables/netfilter) verwendet.
Konfiguration
nach der Installation wird entsprechend konfiguriert. Folgendes geändert, der Rest default.
/etc/default/shorewall
# prevent startup with default configuration # set the below varible to 1 in order to allow shorewall to start startup=1
/etc/shorewall/shorewall.conf
IP_FORWARDING=off DISABLE_IPV6=yes
/etc/shorewall/interfaces
############################################################################## #ZONE INTERFACE BROADCAST OPTIONS net eth0 detect dhcp,routefilter,norfc1918,tcpflags #LAST LINE -- DO NOT REMOVE
/etc/shorewall/policy (für das 'Normalverhalten')
############################################################################### #SOURCE DEST POLICY LOG LIMIT:BURST fw all ACCEPT all all REJECT # LEVEL #LAST LINE -- DO NOT REMOVE
/etc/shorewall/zones
#ZONE DISPLAY COMMENTS net Internet The big bad Internet #LAST LINE - ADD YOUR ENTRIES ABOVE THIS ONE - DO NOT REMOVE
/etc/shorewall/rules (was wir explizit erlauben wollen)
#################################################################################################### #ACTION SOURCE DEST PROTO DEST SOURCE ORIGINAL RATE USER/ # PORT PORT(S) DEST LIMIT GROUP #ACCEPT all fw tcp 563 ACCEPT all fw tcp 22 ACCEPT all fw tcp 443 ACCEPT all fw tcp 80 #ACCEPT all fw tcp 110 ACCEPT all fw tcp 25 ACCEPT all fw tcp 993 ACCEPT all fw tcp 995 AllowPing all fw #LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE
/etc/shorewall/accounting
##################################################################################### #ACTION CHAIN SOURCE DESTINATION PROTO DEST SOURCE USER/ # PORT(S) PORT(S) GROUP mail - eth0 - tcp 25,993,995 mail - - eth0 tcp - 25,993,995 COUNT mail eth0 COUNT mail - eth0 ftp - eth0 - tcp 21 ftp - - eth0 tcp - 21 COUNT ftp eth0 COUNT ftp - eth0 stream - eth0 - tcp 8000,8001 stream - - eth0 tcp - 8000,8001 COUNT stream eth0 COUNT stream - eth0 web - eth0 - tcp 80 web - - eth0 tcp - 80 web - eth0 - tcp 443 web - - eth0 tcp - 443 COUNT web eth0 COUNT web - eth0
Betrieb
ein
shorewall check
prüft die Konfig, ein
shorewall start
startet das ganze.
IP-Adressen blocken
Sind mal wieder böse Leute im Netz unterwegs, kann man diese einfach sperren, bzw. droppen:
shorewall drop 61.129.57.x