Shorewall: Unterschied zwischen den Versionen
Zur Navigation springen
Zur Suche springen
(ips blocken) |
(zone fixes) |
||
| Zeile 38: | Zeile 38: | ||
/etc/shorewall/zones | /etc/shorewall/zones | ||
<pre> | <pre> | ||
#ZONE | |||
net | #ZONE TYPE OPTIONS IN OUT | ||
# OPTIONS OPTIONS | |||
fw firewall | |||
net ipv4 | |||
#loc ipv4 | |||
vwn ipv4 | |||
#LAST LINE - ADD YOUR ENTRIES ABOVE THIS ONE - DO NOT REMOVE | #LAST LINE - ADD YOUR ENTRIES ABOVE THIS ONE - DO NOT REMOVE | ||
</pre> | </pre> | ||
| Zeile 84: | Zeile 89: | ||
COUNT web - eth0 | COUNT web - eth0 | ||
</pre> | </pre> | ||
=Betrieb= | =Betrieb= | ||
Version vom 18. April 2007, 18:33 Uhr
Ziel, alles von aussen sperren, nach innen nur 'named' port, wie z.b. 22(ssh),25(smtp),80(http),443(https),993(imaps),995(pop3s) als Firewall wird shorewall (mit iptables/netfilter) verwendet.
Konfiguration
nach der Installation wird entsprechend konfiguriert. Folgendes geändert, der Rest default.
/etc/default/shorewall
# prevent startup with default configuration # set the below varible to 1 in order to allow shorewall to start startup=1
/etc/shorewall/shorewall.conf
IP_FORWARDING=off DISABLE_IPV6=yes
/etc/shorewall/interfaces
############################################################################## #ZONE INTERFACE BROADCAST OPTIONS net eth0 detect dhcp,routefilter,norfc1918,tcpflags #LAST LINE -- DO NOT REMOVE
/etc/shorewall/policy (für das 'Normalverhalten')
############################################################################### #SOURCE DEST POLICY LOG LIMIT:BURST fw all ACCEPT all all REJECT # LEVEL #LAST LINE -- DO NOT REMOVE
/etc/shorewall/zones
#ZONE TYPE OPTIONS IN OUT # OPTIONS OPTIONS fw firewall net ipv4 #loc ipv4 vwn ipv4 #LAST LINE - ADD YOUR ENTRIES ABOVE THIS ONE - DO NOT REMOVE
/etc/shorewall/rules (was wir explizit erlauben wollen)
#################################################################################################### #ACTION SOURCE DEST PROTO DEST SOURCE ORIGINAL RATE USER/ # PORT PORT(S) DEST LIMIT GROUP #ACCEPT all fw tcp 563 ACCEPT all fw tcp 22 ACCEPT all fw tcp 443 ACCEPT all fw tcp 80 #ACCEPT all fw tcp 110 ACCEPT all fw tcp 25 ACCEPT all fw tcp 993 ACCEPT all fw tcp 995 AllowPing all fw #LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE
/etc/shorewall/accounting
##################################################################################### #ACTION CHAIN SOURCE DESTINATION PROTO DEST SOURCE USER/ # PORT(S) PORT(S) GROUP mail - eth0 - tcp 25,993,995 mail - - eth0 tcp - 25,993,995 COUNT mail eth0 COUNT mail - eth0 ftp - eth0 - tcp 21 ftp - - eth0 tcp - 21 COUNT ftp eth0 COUNT ftp - eth0 stream - eth0 - tcp 8000,8001 stream - - eth0 tcp - 8000,8001 COUNT stream eth0 COUNT stream - eth0 web - eth0 - tcp 80 web - - eth0 tcp - 80 web - eth0 - tcp 443 web - - eth0 tcp - 443 COUNT web eth0 COUNT web - eth0
Betrieb
ein
shorewall check
prüft die Konfig, ein
shorewall start
startet das ganze.
IP-Adressen blocken
Sind mal wieder böse Leute im Netz unterwegs, kann man diese einfach sperren, bzw. droppen:
shorewall drop 61.129.57.x