Shorewall: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
K (cat) |
(accounting) |
||
| Zeile 59: | Zeile 59: | ||
</pre> | </pre> | ||
/etc/shorewall/accounting | |||
<pre> | |||
##################################################################################### | |||
#ACTION CHAIN SOURCE DESTINATION PROTO DEST SOURCE USER/ | |||
# PORT(S) PORT(S) GROUP | |||
mail - eth0 - tcp 25,993,995 | |||
mail - - eth0 tcp - 25,993,995 | |||
COUNT mail eth0 | |||
COUNT mail - eth0 | |||
ftp - eth0 - tcp 21 | |||
ftp - - eth0 tcp - 21 | |||
COUNT ftp eth0 | |||
COUNT ftp - eth0 | |||
stream - eth0 - tcp 8000,8001 | |||
stream - - eth0 tcp - 8000,8001 | |||
COUNT stream eth0 | |||
COUNT stream - eth0 | |||
web - eth0 - tcp 80 | |||
web - - eth0 tcp - 80 | |||
web - eth0 - tcp 443 | |||
web - - eth0 tcp - 443 | |||
COUNT web eth0 | |||
COUNT web - eth0 | |||
</pre> | |||
ein shorewall check prüft die Konfig, ein shorewall start startet das ganze. | ein | ||
shorewall check | |||
prüft die Konfig, ein | |||
shorewall start | |||
startet das ganze. | |||
[[Category:Linux]] | [[Category:Linux]] | ||
Version vom 18. Januar 2007, 23:23 Uhr
Ziel, alles von aussen sperren, nach innen nur 'named' port, wie z.b. 22(ssh),25(smtp),80(http),443(https),993(imaps),995(pop3s) als Firewall wird shorewall (mit iptables/netfilter) verwendet.
nach der Installation wird entsprechend konfiguriert. Folgendes geändert, der Rest default.
/etc/default/shorewall
# prevent startup with default configuration # set the below varible to 1 in order to allow shorewall to start startup=1
/etc/shorewall/shorewall.conf
IP_FORWARDING=off DISABLE_IPV6=yes
/etc/shorewall/interfaces
############################################################################## #ZONE INTERFACE BROADCAST OPTIONS net eth0 detect dhcp,routefilter,norfc1918,tcpflags #LAST LINE -- DO NOT REMOVE
/etc/shorewall/policy (für das 'Normalverhalten')
############################################################################### #SOURCE DEST POLICY LOG LIMIT:BURST fw all ACCEPT all all REJECT # LEVEL #LAST LINE -- DO NOT REMOVE
/etc/shorewall/zones
#ZONE DISPLAY COMMENTS net Internet The big bad Internet #LAST LINE - ADD YOUR ENTRIES ABOVE THIS ONE - DO NOT REMOVE
/etc/shorewall/rules (was wir explizit erlauben wollen)
#################################################################################################### #ACTION SOURCE DEST PROTO DEST SOURCE ORIGINAL RATE USER/ # PORT PORT(S) DEST LIMIT GROUP #ACCEPT all fw tcp 563 ACCEPT all fw tcp 22 ACCEPT all fw tcp 443 ACCEPT all fw tcp 80 #ACCEPT all fw tcp 110 ACCEPT all fw tcp 25 ACCEPT all fw tcp 993 ACCEPT all fw tcp 995 AllowPing all fw #LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE
/etc/shorewall/accounting
##################################################################################### #ACTION CHAIN SOURCE DESTINATION PROTO DEST SOURCE USER/ # PORT(S) PORT(S) GROUP mail - eth0 - tcp 25,993,995 mail - - eth0 tcp - 25,993,995 COUNT mail eth0 COUNT mail - eth0 ftp - eth0 - tcp 21 ftp - - eth0 tcp - 21 COUNT ftp eth0 COUNT ftp - eth0 stream - eth0 - tcp 8000,8001 stream - - eth0 tcp - 8000,8001 COUNT stream eth0 COUNT stream - eth0 web - eth0 - tcp 80 web - - eth0 tcp - 80 web - eth0 - tcp 443 web - - eth0 tcp - 443 COUNT web eth0 COUNT web - eth0
ein
shorewall check
prüft die Konfig, ein
shorewall start
startet das ganze.