ICO wiki - User contributions [en]

Talk:Tulemüür M0n0wall

2010-05-08T08:17:24Z

Rkolga:

Kommentaarid õppejõult:

"embedded system" on sardsüsteem

Puudustest võiks mainida ka MTA puudumist

[[User:Mernits|Mernits]] 10:31, 7 May 2010 (EEST)

[[User:Ltallinn|Ltallinn]]: asendasin "manus" "sard"-ga, "manuse" olin kasutusele võtnud [http://www.vallaste.ee/sona.asp?Type=UserId&otsing=3664 vallaste.ee] abiga ("sardi" pakutakse seal samuti)

MTA lisandus puudustele.

--------

[[User:Rkolga|Rkolga]] 11:00, 8 May 2010 (EEST)

Eelnevad teadmised M0n0wall'ise olid väga minimaalsed. Selle wiki artikli lugemisel sain vastused olulistele küsimustele.

Kõige olulisem eesmärk (funktsionaalsus ja puudused) on täidetud ja minule isiklikult see sobib (otsustamaks):-)

Välja võiks tuua wiki autori enda kogemuse, katsetused paigaldamise ja kasutamise osas.

Talk:Tulemüür M0n0wall

2010-05-08T08:17:08Z

Rkolga:

2010-04-26T06:29:09Z

Rkolga: /* Konfigureerimine */

Autor: Ragnar Kolga - AK32

=Sissejuhatus=

 Shorewall (alias Shoreline Firewall) on tarkvaraline vahend netfiltri konfigureerimiseks Linuxis (linux - operatsioonisüsteem linux kernelil).
Netfilter koos kasutajaliidesega iptables on paketifilter. Shorewall konfigureerib Netfiltri, kasutades konfiguratsioonifaile ja seda iptables utiliidi vahendusel. Shorewalli on võimalik kasutada tulemüürina väga erinevatel seadmetel (ruuteritel, serveritel, ...).

Shorewall teeb lihtsamaks tulemüürireeglite manageerimise. Reeglid defineeritakse tekstifailides ja on lihtsasti muudetavad.
Uuele kasutajale selles valdkonnas on kindlasti lihtsamaid tulemüüri reeglite haldamise vahendeid, millel on olemas ka graafiline liides.

Alates 4.2 versioonist on toetatud ka IPv6.

Viimane stabiilne versioon on 4.4.7 (04.2010 seisuga).
Shorewalli tarkvara on saadaval ingliskeelsena. Litsents on GPLv2 ja üks arendajatest on Thomas M.Eastep.

=Eelinfo=

Oluline oleks veel teada, et netfilter lubab defineerida reegleid, kuidas käsitletakse võrgupakette.

Netfilter koosneb erinevatest ahelast :
INPUT - sissetulevad paketid
OUTPUT - väljuvad paketid
FORWARD - edastatavad paketid
PREROUTING ja POSTROUTING - põhiliselt NAT tegemiseks (kui ei ole piisavalt avalike ip aadresse siis tuleb kasutada NAT-i).

Siinkohal tooks veel välja, et iptables on vahend netfilter tabelite konfigureerimiseks (reeglitest koosnevad tabelid).

Alustuseks tuleks luua üldine võrgu skeem ( [http://docs.huihoo.com/shorewall/2.0/images/basics.png Joonis] [http://docs.huihoo.com/shorewall/2.0/images Veel erinevaid lahendusi]).

Järgnevalt tooksin välja tegevused shorewalli konfiguratsioonifailidega (abiks edaspidistel tegevustel ja tekib parem ettekujutus toimuvast).

 Fail Tegevus 
Zones Võrgu jagamine tsoonideks
Hosts, Interfaces Defineeritakse tsoonid tulemüüri liideste ja ip aadressitega
Defineeritakse erinevate tsoonide võrguliikluse piirangud
Policy Tsoonide vaheline ligipääs
Rules Määratakse teenuste kaupa ligipääsu reeglid
Määratakse destination NAT (D-NAT) reeglid
Masq Määratakse Source NAT (S-NAT) reeglid
Shorewall.conf Üldise konfiguratsioonifaili määrangud
... Muud piirangud

PS. Kõik käsud, mis on toodud välja selles wiki's(referaadis) on käivitatud root kasutaja õigustes :-|

Abistavad käsud võrguliideste määramiseks konfiguratsioonifailides:
<pre>ip route ls - käsu käivitamisel kuvatakse võrguaadressid </pre>
<pre>ifconfig -a - käsu käivitamisel kuvatakse võrguliidesed mis on defineeritud </pre>
<pre> route -n - käsu käivitamisel kuvatakse ruutingutabel </pre>
...
Abistavad käsud reeglite määramiseks konfiguratsioonifailides:
<pre>netstat -tnl - selle käsuga väljastatakse info millised on tcp teenused </pre>
<pre>netstat -unl - selle käsuga väljastatakse info millised on udp teenused </pre>
<pre>netstat -luntp - selle käsuga väljastatakse info teenustest, mis töötavad sinu süsteemis </pre>
<pre>grep "teenuse nimi" /etc/services - väljastatakse päritud informatsioon </pre>

Näiteks vaatame mis port on https teenusel.
Kui teame teenuse nime:
[student@student student]$ grep "https" /etc/services
https 443/tcp # MCom
https 443/udp # MCom

Kui teame teenuse porti:
[student@student student]$ grep "443" /etc/services
https 443/tcp # MCom
https 443/udp # MCom

...

=Installeerimine=

[http://www.shorewall.net/Install.htm Juhend ]

Installerimiseks peame logima oma arvutisse, kuhu soovime shorewall tarkvara paigaldada.
Installeerimiskäsud peab käivtama vastavate õigustega kasutaja (võimalik teha sudo -i ja minna root kasutaja õigustesse, või lisada kõikidele käskudele ette sudo).

<pre>yum install shorewall</pre>

Lae alla shorewall 4.4.8 versioon käsurealt (vaata endale teine sobiv versioon ([http://slovakia.shorewall.net/pub/shorewall/ Vaata teine versioon])):
<pre>wget http://slovakia.shorewall.net/pub/shorewall/4.4/shorewall-4.4.8/shorewall-4.4.8-2.noarch.rpm </pre>

Installeeri
<pre>N: rpm -ivh <shorewall-4.4.8-2.noarch.rpm></pre>

Edaspdid siis asenda uuema versiooni rpm faili nimega
<pre>rpm -ivh <shorewall rpm paketi nimi></pre>

TAR installeerimine käsurealt
<pre>wget http://slovakia.shorewall.net/pub/shorewall/4.4/shorewall-4.4.8/shorewall-docs-html-4.4.8.tar.bz2</pre>

<pre>tar -jxf shorewall-x.x.x.tar.bz2</pre>
<pre>tar -xzf shorewall_versiooninr.tgz</pre>
Mine shorewall kausta (cd shorewallkaus) ja käivita käsk
<pre>./install.sh</pre>

Kopeerime näidis konfiguratsioonifailid /etc/shorewall kausta (Debian)
<pre> cp /usr/share/doc/shorewall/default-config/* /etc/shorewall/ </pre>

=Konfigureerimine=

Shorewalli olulisemad konfiguratsioonifailid on zones, policy, rules ja shorewall.conf.
Antud referaadi koostamisel lähtud kõige levinumast lahendusest, kus on üks välisvõrgu ja sisevõrgu liides. 

[http://www.shorewall.net/shorewall_setup_guide.htm Konfigureerimisest]

 Zones (tsoonid) konfiguratsioonifail 

Ühe tsooni piires kehtivad ühensugused tulemüüri reeglid.
Kõigepealt tuleb konfigureerida erinevad võrgu tsoonid. Kirjeldada tuleb tsoonidele nimed.
Näiteks välisvõrk net (interNET) ja sisevõrk loc (LOCal või private).

--- konfiguratsioonifaili sisu ---
#ZONE TYPE OPTIONS IN OUT
# OPTIONS OPTIONS
fw firewall
net ipv4
loc ipv4

 Interfaces konfiguratsioonifail 
Võrguliideste defineerimine. Siin määrame milline võrguliides vastab tsoonifailis oleva kirjeldusega.

--- konfiguratsioonifaili sisu ---
#ZONE INTERFACE BROADCAST OPTIONS
net eth1 193.xxx.xxx.xxx routefilter
loc eth0 172.xxx.xxx.255 dhcp,routeback

Zone - tsoon mis on defineeritud zones failis.
Interfaces - võrguliidese nimi.

 Policy konfiguratsioonifail (General plan of action - tegevusplaan) 

--- konfiguratsioonifaili sisu ---
#SOURCE DEST POLICY LOG LEVEL LIMIT:BURST
loc net ACCEPT
net all DROP info
all all REJECT info

 Rules (reeglid) konfiguratsioonifail 
Kõige tähtsam konfiguratsioonifail.
Reeglite failis määratakse mis on lubatud ja keelatud. Kõikide uute ühenduste loomisel kontrollitakse tulemüüri reegleid.
[http://www.shorewall.net/manpages/shorewall-rules.html Lisainfo reeglite kasutamisest]

--- konfiguratsioonifaili sisu ---
#ACTION SOURCE DEST PROTO DEST PORT(S)
Web(DNAT) net loc:10.10.10.2 # lubame veebi (port 80) 10.10.10.2 masinasse
ACCEPT dmz net tcp smtp # lubame smtp

 shorewall.conf 

[http://www.shorewall.net/manpages/shorewall.conf.html Konfigureerimisest täpsemalt]

Tuleks konfiguratsioonifailis muuta:

#STARTUP_ENABLED=No
STARTUP_ENABLED=Yes

#IPTABLES=
IPTABLES=/sbin/iptables

#IP_FORWARDING=On
IP_FORWARDING=Off

Kui tulemüüri reeglid on paigas võiks proovida teenust käivitada teatud perioodiks, vältimaks ligipääsu probleeme ...
<pre> shorewall try /etc/shorewall 120 </pre>
Shorewall käivitatakse 120 sekundiks.

=Teenus (start/stop/restart/status)=

<pre> service shorewall start - teenuse käivitamine </pre>
<pre> service shorewall stop - teenuse seiskamine </pre>
<pre> service shorewall restart - teenuse taaskäivitamine </pre>
<pre> service shorewall status - teenuse oleku kuvamine (iptables reeglid, loodud ja loomisel ühendused, ...) </pre>

=Probleemid=

Ära installeeri shorewalli kaughaldusena (muidu lõikad näppu ja ei pääse kaugelt süsteemile ligi).

Kui shorewalli konfiguratsioonifailides on probleem, siis peaks vaatama logifaili
<pre> less /var/log/shorewall-init.log </pre>

Logimine

shorewall show log - näitab viimast 20 logitud rida
shorewall logwatch - näitab logi teatud intervalliga
shorewall dump - shorewall probleemide tuvastamiseks

(erinevad võimalused: add, allow, check, clear, help, forget, hits, ipcalc, iprange, refresh, reject, show, try, )

=Varundamine=

Varundada on vaja konfiguratsioonifailid (näiteks asuvad konfiguratsioonifailid /etc/shorewall/ kaustas).

<pre>ls -la /etc/shorewall/ - kuvatakse kausta shorewall sisu</pre>

<pre>tar -zcp /etc/shorewall > /root/shorewall_reeglite_varu.tar.gz - pakime konfiguratsioonifailid kokku</pre>
<pre>cp -r /etc/shorewall > /root/varundamisekaust/shorewall - kopeerime failid varundamise kausta</pre>

=Eemaldamine=

 Debian, Fedora, RedHat, Suse, Centos, Ubuntu, ... 
<pre> apt-get remove -purge shorewall </pre>
<pre> yum remove shorewall</pre>

RPM 
<pre>rpm -e shorewall</pre>

TAR 
Mine shorewalli kausta (cd /shorewall/kasuta/asukoht) ja käivita käsk
<pre>./uninstall.sh</pre>

=Kokkuvõte=

Shorewall tarkvara on lihtne paigaldada ja hallata. Paigaldamisel tuleb kasuks kui teate mõningaid teadmisi linuxi valdkonnast (alusta järgnevalt [https://wiki.itcollege.ee/index.php/Category:IT_infrastruktuuri_teenused lingilt]).

Shorewall projektiga tegeletakse aktiivselt edasi ja soovitan huvilistel olla kursis uudistega, mille leiad järgnevalt [http://www.shorewall.net/News.htm lingilt].

=Kasutatud kirjandus=
* http://www.shorewall.net/
* http://en.wikipedia.org/wiki/Shorewall
* http://en.wikipedia.org/wiki/Netfilter
* http://www.netfilter.org/
* http://www.frozentux.net/documents/iptables-tutorial/
* http://easyfwgen.morizot.net/gen/ - hea tulemüüri reeglite genereerimiseks

[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]

Talk:Shorewall

2010-04-26T06:21:48Z

Rkolga:

2010-04-17T10:26:47Z

Rkolga: /* Varundamine */

Autor: Ragnar Kolga - AK32

=Sissejuhatus=

 Shorewall (alias Shoreline Firewall) on tarkvaraline vahend netfiltri konfigureerimiseks Linuxis (linux - operatsioonisüsteem linux kernelil).
Netfilter koos kasutajaliidesega iptables on paketifilter. Shorewall konfigureerib Netfiltri, kasutades konfiguratsioonifaile ja seda iptables utiliidi vahendusel. Shorewalli on võimalik kasutada tulemüürina väga erinevatel seadmetel (ruuteritel, serveritel, ...).

Shorewall teeb lihtsamaks tulemüürireeglite manageerimise. Reeglid defineeritakse tekstifailides ja on lihtsasti muudetavad.
Uuele kasutajale selles valdkonnas on kindlasti lihtsamaid tulemüüri reeglite haldamise vahendeid, millel on olemas ka graafiline liides.

Alates 4.2 versioonist on toetatud ka IPv6.

Viimane stabiilne versioon on 4.4.7 (04.2010 seisuga).
Shorewalli tarkvara on saadaval ingliskeelsena. Litsents on GPLv2 ja üks arendajatest on Thomas M.Eastep.

=Eelinfo=

Oluline oleks veel teada, et netfilter lubab defineerida reegleid, kuidas käsitletakse võrgupakette.

Netfilter koosneb erinevatest ahelast :
INPUT - sissetulevad paketid
OUTPUT - väljuvad paketid
FORWARD - edastatavad paketid
PREROUTING ja POSTROUTING - põhiliselt NAT tegemiseks (kui ei ole piisavalt avalike ip aadresse siis tuleb kasutada NAT-i).

Siinkohal tooks veel välja, et iptables on vahend netfilter tabelite konfigureerimiseks (reeglitest koosnevad tabelid).

Alustuseks tuleks luua üldine võrgu skeem ( [http://docs.huihoo.com/shorewall/2.0/images/basics.png Joonis] [http://docs.huihoo.com/shorewall/2.0/images Veel erinevaid lahendusi]).

Järgnevalt tooksin välja tegevused shorewalli konfiguratsioonifailidega (abiks edaspidistel tegevustel ja tekib parem ettekujutus toimuvast).

 Fail Tegevus 
Zones Võrgu jagamine tsoonideks
Hosts, Interfaces Defineeritakse tsoonid tulemüüri liideste ja ip aadressitega
Defineeritakse erinevate tsoonide võrguliikluse piirangud
Policy Tsoonide vaheline ligipääs
Rules Määratakse teenuste kaupa ligipääsu reeglid
Määratakse destination NAT (D-NAT) reeglid
Masq Määratakse Source NAT (S-NAT) reeglid
Shorewall.conf Üldise konfiguratsioonifaili määrangud
... Muud piirangud

Abistavad käsud võrguliideste määramiseks konfiguratsioonifailides:
<pre>ip route ls </pre>
<pre>ifconfig</pre>
<pre> route -n</pre>
...
Abistavad käsud reeglite määramiseks konfiguratsioonifailides:
<pre>netstat -tnl</pre>
<pre>netstat -unl</pre>
<pre>netstat -pantu</pre>
<pre>grep "teenuse nimi" /etc/services</pre>
...

=Installeerimine=

Lae alla shorewall 4.4.8 versioon käsurealt (vaata endale teine sobiv versioon ([http://slovakia.shorewall.net/pub/shorewall/ Vaata teine versioon])):
<pre>wget http://slovakia.shorewall.net/pub/shorewall/4.4/shorewall-4.4.8/shorewall-4.4.8-2.noarch.rpm </pre>

Installeeri
<pre>N: rpm -ivh <shorewall-4.4.8-2.noarch.rpm></pre>

Edaspdid siis asenda uuema versiooni rpm faili nimega
<pre>rpm -ivh <shorewall rpm paketi nimi></pre>

TAR installeerimine käsurealt
<pre>wget http://slovakia.shorewall.net/pub/shorewall/4.4/shorewall-4.4.8/shorewall-docs-html-4.4.8.tar.bz2</pre>

<pre>tar -jxf shorewall-x.x.x.tar.bz2</pre>
<pre>tar -xzf shorewall_versiooninr.tgz</pre>

Kopeerime näidis konfiguratsioonifailid /etc/shorewall kausta (Debian)
<pre> cp /usr/share/doc/shorewall/default-config/* /etc/shorewall/ </pre>

=Konfigureerimine=

Shorewalli olulisemad konfiguratsioonifailid on zones, policy, rules ja shorewall.conf.
Antud referaadi koostamisel lähtud kõige levinumast lahendusest, kus on üks välisvõrgu ja sisevõrgu liides. 

[http://www.shorewall.net/shorewall_setup_guide.htm Konfigureerimisest]

 Zones (tsoonid) konfiguratsioonifail 

Ühe tsooni piires kehtivad ühensugused tulemüüri reeglid.
Kõigepealt tuleb konfigureerida erinevad võrgu tsoonid. Kirjeldada tuleb tsoonidele nimed.
Näiteks välisvõrk net (interNET) ja sisevõrk loc (LOCal või private).

--- konfiguratsioonifaili sisu ---
#ZONE TYPE OPTIONS IN OUT
# OPTIONS OPTIONS
fw firewall
net ipv4
loc ipv4

 Interfaces konfiguratsioonifail 
Võrguliideste defineerimine. Siin määrame milline võrguliides vastab tsoonifailis oleva kirjeldusega.

--- konfiguratsioonifaili sisu ---
#ZONE INTERFACE BROADCAST OPTIONS
net eth1 193.xxx.xxx.xxx routefilter
loc eth0 172.xxx.xxx.255 dhcp,routeback

Zone - tsoon mis on defineeritud zones failis.
Interfaces - võrguliidese nimi.

 Policy konfiguratsioonifail (General plan of action - tegevusplaan) 

--- konfiguratsioonifaili sisu ---
#SOURCE DEST POLICY LOG LEVEL LIMIT:BURST
loc net ACCEPT
net all DROP info
all all REJECT info

 Rules (reeglid) konfiguratsioonifail 
Kõige tähtsam konfiguratsioonifail.
Reeglite failis määratakse mis on lubatud ja keelatud. Kõikide uute ühenduste loomisel kontrollitakse tulemüüri reegleid.
[http://www.shorewall.net/manpages/shorewall-rules.html Lisainfo reeglite kasutamisest]

--- konfiguratsioonifaili sisu ---
#ACTION SOURCE DEST PROTO DEST PORT(S)
Web(DNAT) net loc:10.10.10.2 # lubame veebi (port 80) 10.10.10.2 masinasse
ACCEPT dmz net tcp smtp # lubame smtp

 shorewall.conf 

[http://www.shorewall.net/manpages/shorewall.conf.html Konfigureerimisest täpsemalt]

Kui tulemüüri reeglid on paigas võiks proovida teenust käivitada teatud perioodiks, vältimaks ligipääsu probleeme ...
<pre> shorewall try /etc/shorewall 120 </pre>
Shorewall käivitatakse 120 sekundiks.

=Teenus (start/stop/restart/status)=

<pre> service shorewall start - teenuse käivitamine </pre>
<pre> service shorewall stop - teenuse seiskamine </pre>
<pre> service shorewall restart - teenuse taaskäivitamine </pre>
<pre> service shorewall status - teenuse oleku kuvamine (iptables reeglid, loodud ja loomisel ühendused, ...) </pre>

=Probleemid=

Ära installeeri shorewalli kaughaldusena (muidu lõikad näppu ja ei pääse kaugelt süsteemile ligi).

Kui shorewalli konfiguratsioonifailides on probleem, siis peaks vaatama logifaili
<pre> less /var/log/shorewall-init.log </pre>

Logimine

shorewall show log - näitab viimast 20 logitud rida
shorewall logwatch - näitab logi teatud intervalliga
shorewall dump - shorewall probleemide tuvastamiseks

(erinevad võimalused: add, allow, check, clear, help, forget, hits, ipcalc, iprange, refresh, reject, show, try, )

=Varundamine=

Varundada on vaja konfiguratsioonifailid (näiteks asuvad konfiguratsioonifailid /etc/shorewall/ kaustas).

<pre>ls -la /etc/shorewall/ - kuvatakse kausta shorewall sisu</pre>

<pre>tar -zcp /etc/shorewall > /root/shorewall_reeglite_varu.tar.gz - pakime konfiguratsioonifailid kokku</pre>
<pre>cp -r /etc/shorewall > /root/varundamisekaust/shorewall - kopeerime failid varundamise kausta</pre>

=Eemaldamine=
 Debian, Fedora, RedHat, Suse, Centos, Ubuntu, ... 
<pre> apt-get remove shorewall </pre>

<pre> yum remove shorewall</pre>

=Kokkuvõte=

Shorewall tarkvara on lihtne paigaldada ja hallata. Shorewall projektiga tegeletakse aktiivselt edasi ja soovitan huvilistel olla kursis uudistega, mille leiad järgnevalt [http://www.shorewall.net/News.htm lingilt].

=Kasutatud kirjandus=
* http://www.shorewall.net/
* http://en.wikipedia.org/wiki/Shorewall
* http://en.wikipedia.org/wiki/Netfilter
* http://www.netfilter.org/
* http://www.frozentux.net/documents/iptables-tutorial/
* http://easyfwgen.morizot.net/gen/ - hea tulemüüri reeglite genereerimiseks

[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]