Hier werden die Unterschiede zwischen zwei Versionen gezeigt.
bs:linux:firewall [2012/07/09 00:25] mhoffmann [Konfiguration] |
bs:linux:firewall [2012/10/11 10:23] |
||
---|---|---|---|
Zeile 1: | Zeile 1: | ||
- | ====== Linux Firewall mit Shorewall und IPtables2 ====== | ||
- | Dieser Artikel soll auf einfach Weise erklären wie man unter Ubuntu eine Effektive Firewall mit dem Programm **Shorewall** realisiert. | ||
- | |||
- | ===== Voraussetzung ===== | ||
- | |||
- | * Installiertes Paket ''iptables2'' | ||
- | * Liste aller zu öffnenden Ports | ||
- | * Bei vielen Interfaces am besten eine Zeichnung des Netzwerks, sonst kann es schnell unübersichtlich werden | ||
- | |||
- | ===== Installation ===== | ||
- | |||
- | Shorewall wird einfach mit ''sudo apt-get install shorewall'' installiert. | ||
- | Die Config liegt in **/etc/shorewall/**. Beispielkonfigurationen für die verschiendensten Konfigurationen (ein oder mehrere Interfaces, mehrere ISP's, etc.) liegen in **/usr/share/doc/shorewall/examples**. | ||
- | |||
- | ===== Konfiguration ===== | ||
- | Zuerst sollte man sich für den eigenen Andwendungsfall passenste Konfiguration aus den unterordnern in **/etc/shorewall/** kopieren. | ||
- | Der Ordner Shorewall sollte nun folgende Dateien Beinhalten: | ||
- | <sortable> | ||
- | ^Dateiname^Bedeutung^ | ||
- | |interfaces|Konfiguration der Netzwerkkarten und der zugehörigen Zonen| | ||
- | |Makefile|von Shorewall zum kompilieren gebraucht, einfach in Ruhe lassen| | ||
- | |masq|Verschleierung von Interfaces| | ||
- | |policy|Richtlininien, werden zuerst auf den Traffic angewendet| | ||
- | |routestopped|Regelt welche Routen beim Stoppen von Shorewall gelten| | ||
- | |rules|Regeln für den Traffic, werden nach den policies angewendet| | ||
- | |shorewall.conf|Grundsätzliche Konfiguration| | ||
- | |zones|Zonendatei, legt die Eigenschaften von Zonen fest| | ||
- | |||
- | Die Firewall prüft bei eingehendem Datenverkehr zuerst immer im policy File was mit dem Traffic (Portunabhängig) passieren soll. Hier kann der Verkehr entweder zugelassen oder geblockt werden. | ||
- | |||
- | Wird der Verkehr laut Policy **zugelassen**, so wird er einfach an das Entsprechenden Netz weitergeleitet. | ||
- | Wird der Verkehr laut Policy **geblockt**, so wird anschließend in der rules-Datei geprüft ob eventuell eine Ausnahmeregelung für den aktuellen Port, das aktuelle Protokoll oder die Zieladresse existieren. | ||
- | |||
- | Bei der Konfiguration gehen wir wie folgt vor: interfaces -> zones -> policy -> rules -> masq | ||
- | ==== interfaces ==== | ||
- | Hier legt man zunächst fest, welche Netzwekkarten überwacht werden sollen. | ||
- | |||
- | # | ||
- | # Shorewall version 4.0 - Sample Interfaces File for three-interface configuration. | ||
- | # Copyright (C) 2006 by the Shorewall Team | ||
- | # | ||
- | # This library is free software; you can redistribute it and/or | ||
- | # modify it under the terms of the GNU Lesser General Public | ||
- | # License as published by the Free Software Foundation; either | ||
- | # version 2.1 of the License, or (at your option) any later version. | ||
- | # | ||
- | # See the file README.txt for further details. | ||
- | #------------------------------------------------------------------------------ | ||
- | # For information about entries in this file, type "man shorewall-interfaces" | ||
- | ############################################################################### | ||
- | #ZONE INTERFACE BROADCAST OPTIONS | ||
- | net eth0 detect tcpflags,dhcp,nosmurfs,routefilter,logmartians | ||
- | loc eth1 detect tcpflags,nosmurfs,routefilter,logmartians | ||
- | dmz eth2 detect tcpflags,nosmurfs,routefilter,logmartians | ||
- | vpn tun0 detect tcpflags,nosmurfs,routefilter,logmartians | ||
- | |||
- | In dieser Datei wird pro Interace ''INTERFACE'' festgelegt welche Zone ''ZONE'' an der jeweiligen Netzwerkkarte hängt. | ||
- | |||
- | Alle Optionen von ''BROADCAST'' und ''OPTIONS'' findet man [[http://shorewall.net/index.html|hier]]. | ||
- | |||
Bei Verwendung dieses Wikis erklären Sie sich mit dem Haftungsausschluss, Nutzungsbedingungen und der Datenschutzerklärung dieses Wikis einverstanden. Impressum.