Shorewall: Unterschied zwischen den Versionen

Aus crazylinux.de
Zur Navigation springen Zur Suche springen
K (cat)
(accounting)
Zeile 59: Zeile 59:
</pre>
</pre>


/etc/shorewall/accounting
<pre>
#####################################################################################
#ACTION CHAIN  SOURCE          DESTINATION    PROTO  DEST            SOURCE  USER/
#                                                      PORT(S)        PORT(S) GROUP
mail            -      eth0    -              tcp            25,993,995
mail            -      -      eth0            tcp            -              25,993,995
COUNT          mail    eth0
COUNT          mail    -      eth0
ftp            -      eth0    -              tcp            21
ftp            -      -      eth0            tcp            -              21
COUNT          ftp    eth0
COUNT          ftp    -      eth0
stream            -      eth0    -              tcp            8000,8001
stream            -      -      eth0            tcp            -              8000,8001
COUNT          stream    eth0
COUNT          stream    -      eth0
web            -      eth0    -              tcp            80
web            -      -      eth0            tcp            -              80
web            -      eth0    -              tcp            443
web            -      -      eth0            tcp            -              443
COUNT          web    eth0
COUNT          web    -      eth0
</pre>


ein shorewall check prüft die Konfig, ein shorewall start startet das ganze.
ein
shorewall check
prüft die Konfig, ein
shorewall start
startet das ganze.
[[Category:Linux]]
[[Category:Linux]]

Version vom 18. Januar 2007, 23:23 Uhr

Ziel, alles von aussen sperren, nach innen nur 'named' port, wie z.b. 22(ssh),25(smtp),80(http),443(https),993(imaps),995(pop3s) als Firewall wird shorewall (mit iptables/netfilter) verwendet.

nach der Installation wird entsprechend konfiguriert. Folgendes geändert, der Rest default.

/etc/default/shorewall

# prevent startup with default configuration
# set the below varible to 1 in order to allow shorewall to start
startup=1

/etc/shorewall/shorewall.conf

IP_FORWARDING=off
DISABLE_IPV6=yes

/etc/shorewall/interfaces

##############################################################################
#ZONE    INTERFACE      BROADCAST       OPTIONS
net     eth0            detect          dhcp,routefilter,norfc1918,tcpflags
#LAST LINE -- DO NOT REMOVE

/etc/shorewall/policy (für das 'Normalverhalten')

###############################################################################
#SOURCE         DEST            POLICY          LOG             LIMIT:BURST
fw              all             ACCEPT
all             all             REJECT
#                                               LEVEL
#LAST LINE -- DO NOT REMOVE

/etc/shorewall/zones

#ZONE                   DISPLAY         COMMENTS
net     Internet        The big bad Internet
#LAST LINE - ADD YOUR ENTRIES ABOVE THIS ONE - DO NOT REMOVE

/etc/shorewall/rules (was wir explizit erlauben wollen)

####################################################################################################
#ACTION  SOURCE         DEST            PROTO   DEST    SOURCE     ORIGINAL     RATE            USER/
#                                               PORT    PORT(S)    DEST         LIMIT           GROUP
#ACCEPT          all             fw              tcp     563
ACCEPT          all             fw              tcp     22
ACCEPT          all             fw              tcp     443
ACCEPT          all             fw              tcp     80
#ACCEPT          all             fw              tcp     110
ACCEPT          all             fw              tcp     25
ACCEPT          all             fw              tcp     993
ACCEPT          all             fw              tcp     995
AllowPing    all       fw
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE

/etc/shorewall/accounting

#####################################################################################
#ACTION CHAIN   SOURCE          DESTINATION     PROTO   DEST            SOURCE  USER/
#                                                       PORT(S)         PORT(S) GROUP
mail             -       eth0    -               tcp             25,993,995
mail             -       -       eth0            tcp             -               25,993,995
COUNT           mail     eth0
COUNT           mail     -       eth0
ftp             -       eth0    -               tcp             21
ftp             -       -       eth0            tcp             -               21
COUNT           ftp     eth0
COUNT           ftp     -       eth0
stream             -       eth0    -               tcp             8000,8001
stream             -       -       eth0            tcp             -               8000,8001
COUNT           stream     eth0
COUNT           stream     -       eth0
web             -       eth0    -               tcp             80
web             -       -       eth0            tcp             -               80
web             -       eth0    -               tcp             443
web             -       -       eth0            tcp             -               443
COUNT           web     eth0
COUNT           web     -       eth0

ein

shorewall check

prüft die Konfig, ein

shorewall start

startet das ganze.