Shorewall - Usa ka High-Level Firewall alang sa Pag-configure sa mga Server sa Linux

Ang pagpahimutang sa usa ka firewall sa Linux mahimong makahadlok kaayo alang sa usa ka bag-ohan, o alang sa usa ka tawo nga dili kaayo pamilyar sa mga iptables. Suwerte, adunay usa ka dali nga magamit nga solusyon sa Shorewall.

Niini nga daghang bahin nga panudlo, sugdan ko ikaw sa Shorewall, ug giyahi ka sa pipila ka labi ka abante nga mga hilisgutan nga adunay kini nga katingad-an nga sistema sa firewall.

Unsa ang Shorewall?

Ang Shorewall usa ka front-end sa mga iptables, apan kini usa ka command line environment front-end nga naggamit sa daghang mga text file alang sa configuration niini. Samtang ang Shorewall usa ka lig-on nga sistema sa firewall nga mahimong ma-scale sa daghang mga network nga nagserbisyo sa daghang mga makina, magsugod kami sa usa ka sukaranan nga duha ka interface nga pag-configure ug ipunting ang mga sukaranan.

Ang duha ka interface nga configuration naglangkob sa usa ka makina nga adunay duha ka Ethernet port, usa nga mosulod, ug ang usa mogawas sa lokal nga network.

Pag-instalar sa Shorewall sa Linux

Ang Shorewall mahimong ma-install gamit ang apt-get ug yum package manager tools.

$ sudo apt-get install shorewall6
$ sudo yum install shorewall6

Pagkahuman sa pag-instalar, kinahanglan namon nga kopyahon ang usa ka sampol nga pagsumpo gikan sa direktoryo nga/usr/share/doc/shorewall ngadto sa default nga direktoryo sa Shorewall nga/etc/shorewall.

$ sudo cp /usr/share/doc/shorewall/example/two-interfaces/* /etc/shorewall

Ug dayon cd sa /etc/shorewall.

$ cd /etc/shorewall

Kung atong tan-awon kini nga direktoryo, atong makita ang usa ka hugpong sa mga file ug shorewall.conf file. Ang Shorewall nagtan-aw sa network isip usa ka grupo sa lain-laing mga zone, mao nga ang unang file nga gusto namong tan-awon mao ang /etc/shorewall/zones file.

Dinhi, atong makita nga adunay tulo ka mga zone nga gihubit sa default: net, loc, ug tanan. Importante nga hinumdoman nga ang Shorewall nagtratar sa firewall machine mismo isip kaugalingon nga sona ug gitipigan kini sa usa ka variable nga gitawag og $FW. Makita nimo kini nga variable sa tibuuk nga nahabilin nga mga file sa pag-configure.

Ang file nga/etc/shorewall/zones medyo gipatin-aw sa kaugalingon. Anaa kanimo ang net zone (internet nga nag-atubang sa interface), ang loc zone (LAN nga nag-atubang nga interface), ug tanan, nga mao ang tanan.

Kini nga pag-setup naghatag sa mosunod:

  1. Gitugotan niini ang tanang hangyo sa koneksyon gikan sa loc zone (LAN) ngadto sa net zone (Internet).
  2. Gihulog ang tanang hangyo sa koneksyon (gibaliwala) gikan sa net zone ngadto sa firewall ug sa LAN.
  3. Gisalikway ug gi-log ang tanan nga uban pang mga hangyo.

Ang LOG LEVEL bit kinahanglan nga pamilyar sa bisan kinsa nga nakahimo sa pagdumala sa Apache, MySQL, o bisan unsang uban pang mga programa sa FOSS. Sa kini nga kaso, gisultihan namon ang Shorewall nga gamiton ang lebel sa impormasyon sa pag-log.

Kung gusto nimo nga magamit nimo ang imong firewall aron madumala gikan sa imong LAN, mahimo nimong idugang ang mga musunod nga linya sa imong /etc/shorewall/policy file.

#SOURCE		DEST	POLICY		LOG		LEVEL		LIMIT:BURST
loc			$FW		ACCEPT
$FW			loc		ACCEPT

Karon nga ang among mga sona ug palisiya gitakda na, kinahanglan namon nga i-configure ang among mga interface. Mahimo nimo kini pinaagi sa pag-edit sa /etc/shorewall/interfaces nga file.

Dinhi, among gibutang ang among internet nga nag-atubang nga interface isip eth0 sa net zone. Sa among LAN nga bahin, among gibutang ang laing interface, eth1, ngadto sa loc zone. Palihog i-adjust kini nga payl aron ma-fir ang imong configuration sa hustong paagi.

Ang lainlaing mga kapilian nga mahimo nimong ibutang alang sa bisan hain niini nga mga interface kay lapad, ug labing maayo nga gipatin-aw sa detalye sa panid sa tawo.

$ man shorewall-interfaces

Ang usa ka dali nga pagdagan sa pipila niini mao ang mga musunud:

  1. nosmurfs – filter packets nga adunay adres sa broadcast isip tinubdan.
  2. logmartians – log packets nga adunay imposible nga source address.
  3. routefilter – pagsala sa ruta sa kernel para sa anti-spoofing.

Siyempre, karon nga ang among sistema na-firewall, kinahanglan namon ang pipila nga mga koneksyon nga tugutan aron mahuman ang kinahanglan namon nga buhaton. Imong gihubit kini sa mga lagda nga file sa /etc/shorewall/rules.

Kini nga file tan-awon nga makalibog sa una, labi na tungod kay ang mga kolum nagsapaw, apan ang mga ulohan medyo nagpatin-aw sa kaugalingon. Una, naa nimo ang ACTION column, nga naghulagway kung unsa ang gusto nimong buhaton.

Sunod, ikaw adunay usa ka SOURCE header diin imong gihubit ang sona diin ang pakete naggikan. Unya, naa nimo ang imong DEST, o destinasyon, nga mao ang zone o IP address sa destinasyon. Gamiton nato ang usa ka pananglitan.

Ibutang ta nga gusto nimong magpadagan ug SSH server luyo sa imong firewall sa makina nga adunay IP address nga 192.168.1.25. Dili lang kinahanglan nimo nga ablihan ang usa ka pantalan sa imong firewall, apan kinahanglan nimo nga isulti sa firewall nga ang bisan unsang trapiko nga moabut sa port 22 kinahanglan nga madala sa makina sa 192.168.1.25.

Nailhan kini nga Port Forwarding. Kini usa ka komon nga bahin sa kadaghanan sa firewall/router. Sa/etc/shorewall/rules, mahimo nimo kini pinaagi sa pagdugang usa ka linya nga sama niini:

SSH(DNAT)	net		loc:192.168.1.25

Sa ibabaw, among gihubit ang bisan unsang SSH destined packets nga gikan sa net zone ngadto sa firewall nga kinahanglang i-rotate (DNAT) ngadto sa port 22 sa makina nga adunay address 192.168.1.25.

Gitawag kini nga Network Address Translation o NAT. Ang \D yano nga nagsulti sa Shorewall nga kini usa ka NAT alang sa usa ka adres sa destinasyon.

Aron kini molihok, kinahanglan nimo nga magamit ang suporta sa NAT sa imong kernel. Kung kinahanglan nimo ang NAT ug wala kini, palihug tan-awa ang akong panudlo sa Pag-recompile sa usa ka Debian Kernel.

Mga Reperensya nga Link

Homepage sa Shorewall

Sa sunod nga artikulo, maglakaw kami sa pipila ka mas abante nga mga hilisgutan, apan kinahanglan adunay daghan dinhi aron makasugod ka sa karon. Sama sa kanunay, palihug tan-awa ang mga panid sa tawo alang sa usa ka mas lawom nga pagsabut.