https://wiki.itcollege.ee/api.php?action=feedcontributions&user=Rkolga&feedformat=atomICO wiki - User contributions [en]2024-03-29T04:41:00ZUser contributionsMediaWiki 1.41.0https://wiki.itcollege.ee/index.php?title=Talk:Tulem%C3%BC%C3%BCr_M0n0wall&diff=9204Talk:Tulemüür M0n0wall2010-05-08T08:17:24Z<p>Rkolga: </p>
<hr />
<div>Kommentaarid õppejõult:<br />
<br />
"embedded system" on sardsüsteem<br />
<br />
Puudustest võiks mainida ka MTA puudumist<br />
<br />
[[User:Mernits|Mernits]] 10:31, 7 May 2010 (EEST)<br />
<br />
[[User:Ltallinn|Ltallinn]]: asendasin "manus" "sard"-ga, "manuse" olin kasutusele võtnud [http://www.vallaste.ee/sona.asp?Type=UserId&otsing=3664 vallaste.ee] abiga ("sardi" pakutakse seal samuti)<br />
<br />
MTA lisandus puudustele.<br />
<br />
-------- <br />
<br />
[[User:Rkolga|Rkolga]] 11:00, 8 May 2010 (EEST)<br />
<br />
Eelnevad teadmised M0n0wall'ise olid väga minimaalsed. Selle wiki artikli lugemisel sain vastused olulistele küsimustele.<br />
<br />
Kõige olulisem eesmärk (funktsionaalsus ja puudused) on täidetud ja minule isiklikult see sobib (otsustamaks):-)<br />
<br />
Välja võiks tuua wiki autori enda kogemuse, katsetused paigaldamise ja kasutamise osas.</div>Rkolgahttps://wiki.itcollege.ee/index.php?title=Talk:Tulem%C3%BC%C3%BCr_M0n0wall&diff=9203Talk:Tulemüür M0n0wall2010-05-08T08:17:08Z<p>Rkolga: </p>
<hr />
<div>Kommentaarid õppejõult:<br />
<br />
"embedded system" on sardsüsteem<br />
<br />
Puudustest võiks mainida ka MTA puudumist<br />
<br />
[[User:Mernits|Mernits]] 10:31, 7 May 2010 (EEST)<br />
<br />
[[User:Ltallinn|Ltallinn]]: asendasin "manus" "sard"-ga, "manuse" olin kasutusele võtnud [http://www.vallaste.ee/sona.asp?Type=UserId&otsing=3664 vallaste.ee] abiga ("sardi" pakutakse seal samuti)<br />
<br />
MTA lisandus puudustele.<br />
<br />
-------- <br />
<br />
[[User:Rkolga|Rkolga]] 11:00, 8 May 2010 (EEST)<br />
<br />
Eelnevad teadmised M0n0wall'ise olid väga minimaalsed. Selle wiki artikli lugemisel sain vastused olulistele küsimustele.<br />
<br />
Kõige olulisem eesmärk (funktsionaalsus ja puudused) on täidetud ja minule isiklikult see sobib (otsustamaks):-)<br />
<br />
Välja võiks tuua wiki autori enda kogemuse, katsetuse paigaldamise ja kasutamise osas.</div>Rkolgahttps://wiki.itcollege.ee/index.php?title=Talk:Tulem%C3%BC%C3%BCr_M0n0wall&diff=9201Talk:Tulemüür M0n0wall2010-05-08T08:13:57Z<p>Rkolga: </p>
<hr />
<div>Kommentaarid õppejõult:<br />
<br />
"embedded system" on sardsüsteem<br />
<br />
Puudustest võiks mainida ka MTA puudumist<br />
<br />
[[User:Mernits|Mernits]] 10:31, 7 May 2010 (EEST)<br />
<br />
[[User:Ltallinn|Ltallinn]]: asendasin "manus" "sard"-ga, "manuse" olin kasutusele võtnud [http://www.vallaste.ee/sona.asp?Type=UserId&otsing=3664 vallaste.ee] abiga ("sardi" pakutakse seal samuti)<br />
<br />
MTA lisandus puudustele.<br />
<br />
-------- <br />
<br />
[[User:Rkolga|Rkolga]] 11:00, 8 May 2010 (EEST)<br />
<br />
Eelnevad teadmised M0n0wall'ise olid väga minimaalsed. Selle wiki artikli lugemisel sain vastused olulistele küsimustele.<br />
<br />
Kõige olulisem eesmärk (funktsionaalsus ja puudused) on täidetud ja minule isiklikult see sobib (otsustamaks):-)</div>Rkolgahttps://wiki.itcollege.ee/index.php?title=Talk:Tulem%C3%BC%C3%BCr_M0n0wall&diff=9200Talk:Tulemüür M0n0wall2010-05-08T08:13:02Z<p>Rkolga: </p>
<hr />
<div>Kommentaarid õppejõult:<br />
<br />
"embedded system" on sardsüsteem<br />
<br />
Puudustest võiks mainida ka MTA puudumist<br />
<br />
[[User:Mernits|Mernits]] 10:31, 7 May 2010 (EEST)<br />
<br />
[[User:Ltallinn|Ltallinn]]: asendasin "manus" "sard"-ga, "manuse" olin kasutusele võtnud [http://www.vallaste.ee/sona.asp?Type=UserId&otsing=3664 vallaste.ee] abiga ("sardi" pakutakse seal samuti)<br />
<br />
MTA lisandus puudustele.<br />
<br />
-------- <br />
<br />
[[User:Rkolga|Rkolga]] 11:00, 8 May 2010 (EEST)<br />
<br />
Eelnevad teadmised M0n0wall'ise olid väga minimaalsed. Selle wiki artikli lugemisel sain vastused olulistele küsimustele (millega tegemist, mida võimaldab ja kui aktiivselt tegeletakse arendamisega ...).<br />
<br />
Kõige olulisem eesmärk (funktsionaalsus ja puudused) on täidetud ja minule isiklikult see sobib :-)</div>Rkolgahttps://wiki.itcollege.ee/index.php?title=Talk:Tulem%C3%BC%C3%BCr_M0n0wall&diff=9199Talk:Tulemüür M0n0wall2010-05-08T08:12:24Z<p>Rkolga: </p>
<hr />
<div>Kommentaarid õppejõult:<br />
<br />
"embedded system" on sardsüsteem<br />
<br />
Puudustest võiks mainida ka MTA puudumist<br />
<br />
[[User:Mernits|Mernits]] 10:31, 7 May 2010 (EEST)<br />
<br />
[[User:Ltallinn|Ltallinn]]: asendasin "manus" "sard"-ga, "manuse" olin kasutusele võtnud [http://www.vallaste.ee/sona.asp?Type=UserId&otsing=3664 vallaste.ee] abiga ("sardi" pakutakse seal samuti)<br />
<br />
MTA lisandus puudustele.<br />
<br />
-------- <br />
<br />
rkolga AK32 08_05_2010<br />
<br />
Eelnevad teadmised M0n0wall'ise olid väga minimaalsed. Selle wiki artikli lugemisel sain vastused olulistele küsimustele (millega tegemist, mida võimaldab ja kui aktiivselt tegeletakse arendamisega ...).<br />
<br />
Kõige olulisem eesmärk (funktsionaalsus ja puudused) on täidetud ja minule isiklikult see sobib :-)</div>Rkolgahttps://wiki.itcollege.ee/index.php?title=Talk:Tulem%C3%BC%C3%BCr_M0n0wall&diff=9198Talk:Tulemüür M0n0wall2010-05-08T08:12:03Z<p>Rkolga: </p>
<hr />
<div>Kommentaarid õppejõult:<br />
<br />
"embedded system" on sardsüsteem<br />
<br />
Puudustest võiks mainida ka MTA puudumist<br />
<br />
[[User:Mernits|Mernits]] 10:31, 7 May 2010 (EEST)<br />
<br />
[[User:Ltallinn|Ltallinn]]: asendasin "manus" "sard"-ga, "manuse" olin kasutusele võtnud [http://www.vallaste.ee/sona.asp?Type=UserId&otsing=3664 vallaste.ee] abiga ("sardi" pakutakse seal samuti)<br />
<br />
MTA lisandus puudustele.<br />
<br />
-------- rkolga AK32<br />
<br />
Eelnevad teadmised M0n0wall'ise olid väga minimaalsed. Selle wiki artikli lugemisel sain vastused olulistele küsimustele (millega tegemist, mida võimaldab ja kui aktiivselt tegeletakse arendamisega ...).<br />
<br />
Kõige olulisem eesmärk (funktsionaalsus ja puudused) on täidetud ja minule isiklikult see sobib :-)</div>Rkolgahttps://wiki.itcollege.ee/index.php?title=Talk:Tulem%C3%BC%C3%BCr_M0n0wall&diff=9197Talk:Tulemüür M0n0wall2010-05-08T08:10:15Z<p>Rkolga: </p>
<hr />
<div>Kommentaarid õppejõult:<br />
<br />
"embedded system" on sardsüsteem<br />
<br />
Puudustest võiks mainida ka MTA puudumist<br />
<br />
[[User:Mernits|Mernits]] 10:31, 7 May 2010 (EEST)<br />
<br />
[[User:Ltallinn|Ltallinn]]: asendasin "manus" "sard"-ga, "manuse" olin kasutusele võtnud [http://www.vallaste.ee/sona.asp?Type=UserId&otsing=3664 vallaste.ee] abiga ("sardi" pakutakse seal samuti)<br />
<br />
MTA lisandus puudustele.<br />
<br />
-------- rkolga AK32 ---------<br />
<br />
Eelnevad teadmised M0n0wall'ise olid väga minimaalsed. Selle wiki artikli lugemisel sain vastused olulistele küsimustele (millega tegemist, mida võimaldab ja kui aktiivselt tegeletakse arendamisega ...).<br />
<br />
Lisaks kasutajana, kes võiks olla huvitatud antud tarkvaratootest saan ülevaate, mis on riistvarale seatud.</div>Rkolgahttps://wiki.itcollege.ee/index.php?title=Talk:Tulem%C3%BC%C3%BCr_M0n0wall&diff=9196Talk:Tulemüür M0n0wall2010-05-08T08:01:20Z<p>Rkolga: </p>
<hr />
<div>Kommentaarid õppejõult:<br />
<br />
"embedded system" on sardsüsteem<br />
<br />
Puudustest võiks mainida ka MTA puudumist<br />
<br />
[[User:Mernits|Mernits]] 10:31, 7 May 2010 (EEST)<br />
<br />
[[User:Ltallinn|Ltallinn]]: asendasin "manus" "sard"-ga, "manuse" olin kasutusele võtnud [http://www.vallaste.ee/sona.asp?Type=UserId&otsing=3664 vallaste.ee] abiga ("sardi" pakutakse seal samuti)<br />
<br />
MTA lisandus puudustele.<br />
<br />
--------<br />
<br />
Eelnevad teadmised M0n0wall'ise olid väga minimaalsed. Selle wiki artikli lugemisel sain vastused olulistele küsimustele (Millega tegemist, mida võimaldab ja kui aktiivselt tegeletakse arendamisega ...).<br />
<br />
Meeldis lihtsus ja olulisema väljatoomine.</div>Rkolgahttps://wiki.itcollege.ee/index.php?title=Talk:Shorewall&diff=9108Talk:Shorewall2010-05-07T14:43:27Z<p>Rkolga: </p>
<hr />
<div>Mille poolest Shorewall eristub teistest analoogsetest? Kas on mingi põhjus, miks just seda valida? Kas on midagi, mida netfilter võimaldab, kuid shorewall ei? [[User:Mernits|Mernits]] 14:36, 24 April 2010 (EEST)</div>Rkolgahttps://wiki.itcollege.ee/index.php?title=Talk:Shorewall&diff=8808Talk:Shorewall2010-05-06T11:19:52Z<p>Rkolga: </p>
<hr />
<div>Mille poolest Shorewall eristub teistest analoogsetest? Kas on mingi põhjus, miks just seda valida? Kas on midagi, mida netfilter võimaldab, kuid shorewall ei? [[User:Mernits|Mernits]] 14:36, 24 April 2010 (EEST)<br />
<br />
<br />
<h3>Vastused küsimustele</h3><br />
<br />
<br />
-----<br />
<b>Mille poolest Shorewall eristub teistest analoogsetest?</b><br />
-----<br />
Kahjuks ei ole minu linuxi põhiste tulemüüritarkvarade kasutusnimekiri kuigi pikk :-) Võimalik, et on sarnane toodet tehtud ja funktsionaalsuselt natuke kentsakam või parem ...<br />
<br />
Kindlasti eelistavad paljud kasutada graafilist tulemüürireeglite haldamise liidest.<br />
<br />
Võiks eristuda struktuuri poolest.<br />
-----<br />
-----<br />
<b>Kas on mingi põhjus, miks just seda valida? </b><br />
-----<br />
Kindlasti tekib parem ettekujutus toimuvast, kui kõik reeglid on eraldi failides. Lihtsus.<br />
<br />
<br />
-----<br />
-----<br />
<b>Kas on midagi, mida netfilter võimaldab, kuid shorewall ei?</b><br />
-----<br />
On :)<br />
---<br />
IPFORWARD = 1 or 0 ...<br />
<br />
http://www.netfilter.org/documentation/index.html#documentation-howto<br />
Netfilter also has the ability to mangle IP header information for advanced routing and connection state management. <br />
<br />
Netfilter / Shorewall<br />
<br />
Eelinfo:<br />
Netfilter on kernelipõhine. Iptables on kasutajapõhine.<br />
<br />
Netfilter:<br />
•stateless packet filtering (IPv4 and IPv6)<br />
•stateful packet filtering (IPv4 and IPv6)<br />
•all kinds of network address and port translation, e.g. NAT/NAPT (IPv4 only)<br />
•flexible and extensible infrastructure<br />
•multiple layers of API's for 3rd party extensions<br />
•large number of plugins/modules kept in 'patch-o-matic' repository<br />
<br />
Netfilter võimalused:<br />
•build internet firewalls based on stateless and stateful packet filtering<br />
•use NAT and masquerading for sharing internet access if you don't have enough public IP addresses<br />
•use NAT to implement transparent proxies<br />
•aid the tc and iproute2 systems used to build sophisticated QoS and policy routers<br />
•do further packet manipulation (mangling) like altering the TOS/DSCP/ECN bits of the IP header</div>Rkolgahttps://wiki.itcollege.ee/index.php?title=Talk:Shorewall&diff=8807Talk:Shorewall2010-05-06T11:13:43Z<p>Rkolga: </p>
<hr />
<div>Mille poolest Shorewall eristub teistest analoogsetest? Kas on mingi põhjus, miks just seda valida? Kas on midagi, mida netfilter võimaldab, kuid shorewall ei? [[User:Mernits|Mernits]] 14:36, 24 April 2010 (EEST)<br />
<br />
<br />
<h3>Vastused küsimustele</h3><br />
<br />
<br />
-----<br />
<b>Mille poolest Shorewall eristub teistest analoogsetest?</b><br />
-----<br />
Kahjuks ei ole minu linuxi põhiste tulemüüritarkvarade kasutusnimekiri kuigi pikk :-) Võimalik, et on sarnane toodet tehtud ja funktsionaalsuselt natuke kentsakam või parem ...<br />
<br />
Kindlasti eelistavad paljud kasutada graafilist tulemüürireeglite haldamise liidest.<br />
<br />
Võiks eristuda struktuuri poolest.<br />
-----<br />
-----<br />
<b>Kas on mingi põhjus, miks just seda valida? </b><br />
-----<br />
Kindlasti tekib parem ettekujutus toimuvast, kui kõik reeglid on eraldi failides. Lihtsus.<br />
<br />
<br />
-----<br />
-----<br />
<b>Kas on midagi, mida netfilter võimaldab, kuid shorewall ei?</b><br />
-----<br />
On :)<br />
---<br />
IPFORWARD = 1 or 0 ...<br />
<br />
<br />
Netfilter / Shorewall<br />
<br />
Eelinfo:<br />
<br />
Netfilter:<br />
•stateless packet filtering (IPv4 and IPv6)<br />
•stateful packet filtering (IPv4 and IPv6)<br />
•all kinds of network address and port translation, e.g. NAT/NAPT (IPv4 only)<br />
•flexible and extensible infrastructure<br />
•multiple layers of API's for 3rd party extensions<br />
•large number of plugins/modules kept in 'patch-o-matic' repository<br />
<br />
Netfilter võimalused:<br />
•build internet firewalls based on stateless and stateful packet filtering<br />
•use NAT and masquerading for sharing internet access if you don't have enough public IP addresses<br />
•use NAT to implement transparent proxies<br />
•aid the tc and iproute2 systems used to build sophisticated QoS and policy routers<br />
•do further packet manipulation (mangling) like altering the TOS/DSCP/ECN bits of the IP header</div>Rkolgahttps://wiki.itcollege.ee/index.php?title=Talk:Shorewall&diff=8336Talk:Shorewall2010-05-01T07:34:05Z<p>Rkolga: </p>
<hr />
<div>Mille poolest Shorewall eristub teistest analoogsetest? Kas on mingi põhjus, miks just seda valida? Kas on midagi, mida netfilter võimaldab, kuid shorewall ei? [[User:Mernits|Mernits]] 14:36, 24 April 2010 (EEST)<br />
<br />
<br />
<h3>Vastused küsimustele</h3><br />
<br />
<br />
-----<br />
<b>Mille poolest Shorewall eristub teistest analoogsetest?</b><br />
-----<br />
Kahjuks ei ole minu linuxi põhiste tulemüüritarkvarade kasutusnimekiri kuigi pikk :-) Võimalik, et on sarnane toodet tehtud ja funktsionaalsuselt natuke kentsakam või parem ...<br />
<br />
Kindlasti eelistavad paljud kasutada graafilist tulemüürireeglite haldamise liidest.<br />
<br />
Võiks eristuda struktuuri poolest.<br />
-----<br />
-----<br />
<b>Kas on mingi põhjus, miks just seda valida? </b><br />
-----<br />
Kindlasti tekib parem ettekujutus toimuvast, kui kõik reeglid on eraldi failides. Lihtsus.<br />
<br />
<br />
-----<br />
-----<br />
<b>Kas on midagi, mida netfilter võimaldab, kuid shorewall ei?</b><br />
-----<br />
Ma arvan, et on :-)<br />
---<br />
IPFORWARD = 1 or 0 ...<br />
<br />
<br />
Netfilter / Shorewall<br />
<br />
Eelinfo:<br />
<br />
Netfilter:<br />
•stateless packet filtering (IPv4 and IPv6)<br />
•stateful packet filtering (IPv4 and IPv6)<br />
•all kinds of network address and port translation, e.g. NAT/NAPT (IPv4 only)<br />
•flexible and extensible infrastructure<br />
•multiple layers of API's for 3rd party extensions<br />
•large number of plugins/modules kept in 'patch-o-matic' repository<br />
<br />
Netfilter võimalused:<br />
•build internet firewalls based on stateless and stateful packet filtering<br />
•use NAT and masquerading for sharing internet access if you don't have enough public IP addresses<br />
•use NAT to implement transparent proxies<br />
•aid the tc and iproute2 systems used to build sophisticated QoS and policy routers<br />
•do further packet manipulation (mangling) like altering the TOS/DSCP/ECN bits of the IP header</div>Rkolgahttps://wiki.itcollege.ee/index.php?title=Shorewall&diff=8252Shorewall2010-04-30T20:01:20Z<p>Rkolga: </p>
<hr />
<div><br><br />
<b> Autor: </b> Ragnar Kolga - AK32<br />
<br />
=Sissejuhatus=<br />
<br />
<b> Shorewall (alias Shoreline Firewall)</b> on tarkvaraline vahend netfiltri konfigureerimiseks Linuxis (linux - operatsioonisüsteem linux kernelil).<br />
<b>Netfilter</b> koos kasutajaliidesega iptables on paketifilter. Shorewall konfigureerib Netfiltri, kasutades konfiguratsioonifaile ja seda iptables utiliidi vahendusel. Shorewalli on võimalik kasutada tulemüürina väga erinevatel seadmetel (ruuteritel, serveritel, ...).<br />
<br />
Shorewall teeb lihtsamaks tulemüürireeglite manageerimise. Reeglid defineeritakse tekstifailides ja on lihtsasti muudetavad.<br />
Uuele kasutajale selles valdkonnas on kindlasti lihtsamaid tulemüüri reeglite haldamise vahendeid, millel on olemas ka graafiline liides.<br />
<br />
Alates 4.2 versioonist on toetatud ka IPv6.<br />
<br />
Viimane stabiilne versioon on 4.4.7 (04.2010 seisuga).<br />
Shorewalli tarkvara on saadaval ingliskeelsena. Litsents on GPLv2 ja üks arendajatest on Thomas M.Eastep.<br />
<br />
=Eelinfo=<br />
<br />
Oluline on teada, et <b>netfilter</b> lubab defineerida reegleid, mille järgi käsitletakse võrgupakette.<br />
<br />
Netfilter koosneb erinevatest ahelast : <br />
INPUT - sissetulevad paketid <br />
OUTPUT - väljuvad paketid <br />
FORWARD - edastatavad paketid <br />
PREROUTING ja POSTROUTING - põhiliselt NAT tegemiseks (kui ei ole piisavalt avalike ip aadresse siis tuleb kasutada NAT-i). <br />
<br />
Siinkohal tooks veel välja, et <b>iptables</b> on vahend netfilter tabelite konfigureerimiseks (reeglitest koosnevad tabelid).<br />
<br />
Alustuseks tuleks luua üldine võrgu skeem ( [http://docs.huihoo.com/shorewall/2.0/images/basics.png Joonis] [http://docs.huihoo.com/shorewall/2.0/images Veel erinevaid lahendusi]). <br />
<br />
Järgnevalt tooksin välja tegevused shorewalli konfiguratsioonifailidega (abiks edaspidistel tegevustel ja toimuvast tekib parem ettekujutus).<br />
<br />
<b> Fail Tegevus </b><br />
Zones Võrgu jagamine tsoonideks <br />
Hosts, Interfaces Defineeritakse tsoonid tulemüüri liideste ja ip aadressidega <br />
Defineeritakse erinevate tsoonide võrguliikluse piirangud<br />
Policy Tsoonide-vaheline ligipääs<br />
Rules Määratakse teenuste kaupa ligipääsu reeglid<br />
Määratakse destination NAT (D-NAT) reeglid<br />
Masq Määratakse Source NAT (S-NAT) reeglid<br />
Shorewall.conf Üldise konfiguratsioonifaili määrangud<br />
... Muud piirangud/reeglid<br />
<br />
<br />
<br />
PS. Kõik käsud, mis on toodud välja selles wiki's(referaadis) on käivitatud root kasutaja õigustes :-|<br />
<br />
<br />
<b>Abistavad käsud võrguliideste määramiseks konfiguratsioonifailides:</b><br />
<pre>ip route ls - käsu käivitamisel kuvatakse võrguaadressid </pre><br />
<pre>ifconfig -a - käsu käivitamisel kuvatakse võrguliidesed mis on defineeritud </pre><br />
<pre> route -n - käsu käivitamisel kuvatakse ruutingutabel </pre><br />
...<br />
<b>Abistavad käsud reeglite määramiseks konfiguratsioonifailides:</b><br />
<pre>netstat -tnl - selle käsuga väljastatakse info, millised on tcp teenused </pre><br />
<pre>netstat -unl - selle käsuga väljastatakse info, millised on udp teenused </pre><br />
<pre>netstat -luntp - selle käsuga väljastatakse info teenustest, mis töötavad sinu süsteemis </pre><br />
<pre>grep "teenuse nimi" /etc/services - väljastatakse päritud informatsioon </pre><br />
<br />
Näiteks vaatame, mis port on https teenusel.<br />
<b>Kui teame teenuse nime:</b><br />
[student@student student]$ grep "https" /etc/services <br />
https 443/tcp # MCom<br />
https 443/udp # MCom<br />
<br />
<b>Kui teame teenuse porti:</b><br />
[student@student student]$ grep "443" /etc/services <br />
https 443/tcp # MCom<br />
https 443/udp # MCom<br />
<br />
<br />
<br />
...<br />
<br />
=Installeerimine=<br />
<br />
[http://www.shorewall.net/Install.htm Juhend ]<br />
<br />
Installerimiseks peame logima oma arvutisse, kuhu soovime shorewall tarkvara paigaldada.<br />
Installeerimiskäsud peab käivtama vastavate õigustega kasutaja (võimalik teha sudo -i ja minna root kasutaja õigustesse või lisada kõikidele käskudele ette <b>sudo</b>).<br />
<br />
<pre>yum install shorewall</pre><br />
<br />
Lae alla shorewall 4.4.8 versioon käsurealt (vaata endale teine sobiv versioon ([http://slovakia.shorewall.net/pub/shorewall/ Vaata teine versioon])):<br />
<pre>wget http://slovakia.shorewall.net/pub/shorewall/4.4/shorewall-4.4.8/shorewall-4.4.8-2.noarch.rpm </pre><br />
<br />
Installeeri<br />
<pre>N: rpm -ivh <shorewall-4.4.8-2.noarch.rpm></pre><br />
<br />
Edaspidi siis asenda uuema versiooni rpm faili nimega<br />
<pre>rpm -ivh <shorewall rpm paketi nimi></pre><br />
<br />
TAR installeerimine käsurealt<br />
<pre>wget http://slovakia.shorewall.net/pub/shorewall/4.4/shorewall-4.4.8/shorewall-docs-html-4.4.8.tar.bz2</pre><br />
<br />
<pre>tar -jxf shorewall-x.x.x.tar.bz2</pre><br />
<pre>tar -xzf shorewall_versiooninr.tgz</pre><br />
Mine shorewall kausta (cd shorewallkaus) ja käivita käsk<br />
<pre>./install.sh</pre><br />
<br />
Kopeerime näidiskonfiguratsioonifailid /etc/shorewall kausta (Debian)<br />
<pre> cp /usr/share/doc/shorewall/default-config/* /etc/shorewall/ </pre><br />
<br />
=Konfigureerimine=<br />
<br />
Shorewalli olulisemad konfiguratsioonifailid on zones, policy, rules ja shorewall.conf.<br />
Antud referaadi koostamisel lähtud kõige levinumast lahendusest, kus on üks <b>välisvõrgu ja sisevõrgu</b> liides.<br><br />
<br />
[http://www.shorewall.net/shorewall_setup_guide.htm Konfigureerimisest]<br />
<br />
<br><b> Zones (tsoonid) konfiguratsioonifail </b><br><br />
<br />
Ühe tsooni piires kehtivad ühesugused tulemüüri reeglid.<br />
Kõigepealt tuleb konfigureerida erinevad võrgu tsoonid. Kirjelduseks tuleb tsoonidele anda nimed.<br />
Näiteks välisvõrk net (interNET) ja sisevõrk loc (LOCal või private).<br />
<br />
--- konfiguratsioonifaili sisu ---<br />
#ZONE TYPE OPTIONS IN OUT<br />
# OPTIONS OPTIONS<br />
fw firewall<br />
net ipv4<br />
loc ipv4<br />
<br />
<br><b> Interfaces konfiguratsioonifail</b><br><br />
Võrguliideste defineerimine. Siin määrame milline võrguliides vastab tsoonifailis oleva kirjeldusega. <br />
<br />
--- konfiguratsioonifaili sisu ---<br />
#ZONE INTERFACE BROADCAST OPTIONS<br />
net eth1 193.xxx.xxx.xxx routefilter<br />
loc eth0 172.xxx.xxx.255 dhcp,routeback<br />
<br />
Zone - tsoon mis on defineeritud zones failis.<br />
Interfaces - võrguliidese nimi.<br />
<br />
<br><b> Policy konfiguratsioonifail (General plan of action - tegevusplaan)</b><br><br />
<br />
--- konfiguratsioonifaili sisu ---<br />
#SOURCE DEST POLICY LOG LEVEL LIMIT:BURST<br />
loc net ACCEPT<br />
net all DROP info<br />
all all REJECT info<br />
<br />
<b> Rules (reeglid) konfiguratsioonifail </b><br><br />
Kõige tähtsam konfiguratsioonifail. <br />
Reeglite failis määratakse, mis on lubatud ja keelatud. Kõikide uute ühenduste loomisel kontrollitakse tulemüüri reegleid.<br />
[http://www.shorewall.net/manpages/shorewall-rules.html Lisainfo reeglite kasutamisest]<br />
<br />
--- konfiguratsioonifaili sisu ---<br />
#ACTION SOURCE DEST PROTO DEST PORT(S)<br />
Web(DNAT) net loc:10.10.10.2 # lubame veebi (port 80) 10.10.10.2 masinasse<br />
ACCEPT dmz net tcp smtp # lubame smtp<br />
<br />
<b> shorewall.conf </b><br><br />
<br />
[http://www.shorewall.net/manpages/shorewall.conf.html Konfigureerimisest täpsemalt]<br />
<br />
Konfiguratsioonifailis tuleks muuta:<br />
#STARTUP_ENABLED=No<br />
STARTUP_ENABLED=Yes<br />
<br />
#IPTABLES=<br />
IPTABLES=/sbin/iptables<br />
<br />
#IP_FORWARDING=On<br />
IP_FORWARDING=Off<br />
<br />
<br />
Kui tulemüüri reeglid on paigas, võiks proovida teenust käivitada teatud perioodiks, vältimaks ligipääsu probleeme ...<br />
<pre> shorewall try /etc/shorewall 120 </pre> <br />
Shorewall käivitatakse 120 sekundiks.<br />
<br />
=Teenus (start/stop/restart/status)=<br />
<br />
<pre> service shorewall start - teenuse käivitamine </pre><br />
<pre> service shorewall stop - teenuse seiskamine </pre><br />
<pre> service shorewall restart - teenuse taaskäivitamine </pre><br />
<pre> service shorewall status - teenuse oleku kuvamine (iptables reeglid, loodud ja loomisel ühendused, ...) </pre><br />
<br />
<br />
=Probleemid=<br />
<br />
Ära installeeri shorewalli kaughaldusena (muidu lõikad endale näppu ja ei pääse kaugelt süsteemile ligi).<br />
<br />
Kui shorewalli konfiguratsioonifailides on probleem, siis peaks vaatama logifaili<br />
<pre> less /var/log/shorewall-init.log </pre><br />
<br />
Logimine<br />
<br />
shorewall show log - näitab viimast 20 logitud rida<br />
shorewall logwatch - näitab logi teatud intervalliga<br />
shorewall dump - shorewall probleemide tuvastamiseks <br />
<br />
(erinevad võimalused: add, allow, check, clear, help, forget, hits, ipcalc, iprange, refresh, reject, show, try, )<br />
<br />
=Varundamine=<br />
<br />
Varundada on vaja konfiguratsioonifailid (näiteks asuvad konfiguratsioonifailid /etc/shorewall/ kaustas).<br />
<br />
<pre>ls -la /etc/shorewall/ - kuvatakse kausta shorewall sisu</pre> <br />
<br />
<pre>tar -zcp /etc/shorewall > /root/shorewall_reeglite_varu.tar.gz - pakime konfiguratsioonifailid kokku</pre><br />
<pre>cp -r /etc/shorewall > /root/varundamisekaust/shorewall - kopeerime failid varundamise kausta</pre><br />
<br />
<br />
=Eemaldamine=<br />
<br />
<b> Debian, Fedora, RedHat, Suse, Centos, Ubuntu, ... </b><br><br />
<pre> apt-get remove -purge shorewall </pre><br />
<pre> yum remove shorewall</pre><br />
<br />
RPM<br><br />
<pre>rpm -e shorewall</pre><br />
<br />
TAR<br><br />
Mine shorewalli kausta (cd /shorewall/kasuta/asukoht) ja käivita käsk<br />
<pre>./uninstall.sh</pre><br />
<br />
=Kokkuvõte=<br />
<br />
Shorewall tarkvara on lihtne paigaldada ja hallata. Paigaldamisel tuleb kasuks, kui teate mõningaid teadmisi linuxi valdkonnast (alusta järgnevalt [https://wiki.itcollege.ee/index.php/Category:IT_infrastruktuuri_teenused lingilt]).<br />
<br />
Shorewall projektiga tegeletakse aktiivselt edasi ja soovitan huvilistel olla kursis uudistega, mille leiad järgnevalt [http://www.shorewall.net/News.htm lingilt].<br />
<br />
=Kasutatud kirjandus=<br />
* http://www.shorewall.net/<br />
* http://en.wikipedia.org/wiki/Shorewall<br />
* http://en.wikipedia.org/wiki/Netfilter<br />
* http://www.netfilter.org/<br />
* http://www.frozentux.net/documents/iptables-tutorial/<br />
* http://easyfwgen.morizot.net/gen/ - hea tulemüüri reeglite genereerimiseks<br />
<br />
<br />
[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]</div>Rkolgahttps://wiki.itcollege.ee/index.php?title=Shorewall&diff=8008Shorewall2010-04-28T17:11:54Z<p>Rkolga: </p>
<hr />
<div><br><br />
<b> Autor: </b> Ragnar Kolga - AK32<br />
<br />
=Sissejuhatus=<br />
<br />
<b> Shorewall (alias Shoreline Firewall)</b> on tarkvaraline vahend netfiltri konfigureerimiseks Linuxis (linux - operatsioonisüsteem linux kernelil).<br />
<b>Netfilter</b> koos kasutajaliidesega iptables on paketifilter. Shorewall konfigureerib Netfiltri, kasutades konfiguratsioonifaile ja seda iptables utiliidi vahendusel. Shorewalli on võimalik kasutada tulemüürina väga erinevatel seadmetel (ruuteritel, serveritel, ...).<br />
<br />
Shorewall teeb lihtsamaks tulemüürireeglite manageerimise. Reeglid defineeritakse tekstifailides ja on lihtsasti muudetavad.<br />
Uuele kasutajale selles valdkonnas on kindlasti lihtsamaid tulemüüri reeglite haldamise vahendeid, millel on olemas ka graafiline liides.<br />
<br />
Alates 4.2 versioonist on toetatud ka IPv6.<br />
<br />
Viimane stabiilne versioon on 4.4.7 (04.2010 seisuga).<br />
Shorewalli tarkvara on saadaval ingliskeelsena. Litsents on GPLv2 ja üks arendajatest on Thomas M.Eastep.<br />
<br />
=Eelinfo=<br />
<br />
Oluline oleks veel teada, et <b>netfilter</b> lubab defineerida reegleid, kuidas käsitletakse võrgupakette.<br />
<br />
Netfilter koosneb erinevatest ahelast : <br />
INPUT - sissetulevad paketid <br />
OUTPUT - väljuvad paketid <br />
FORWARD - edastatavad paketid <br />
PREROUTING ja POSTROUTING - põhiliselt NAT tegemiseks (kui ei ole piisavalt avalike ip aadresse siis tuleb kasutada NAT-i). <br />
<br />
Siinkohal tooks veel välja, et <b>iptables</b> on vahend netfilter tabelite konfigureerimiseks (reeglitest koosnevad tabelid).<br />
<br />
Alustuseks tuleks luua üldine võrgu skeem ( [http://docs.huihoo.com/shorewall/2.0/images/basics.png Joonis] [http://docs.huihoo.com/shorewall/2.0/images Veel erinevaid lahendusi]). <br />
<br />
Järgnevalt tooksin välja tegevused shorewalli konfiguratsioonifailidega (abiks edaspidistel tegevustel ja tekib parem ettekujutus toimuvast).<br />
<br />
<b> Fail Tegevus </b><br />
Zones Võrgu jagamine tsoonideks <br />
Hosts, Interfaces Defineeritakse tsoonid tulemüüri liideste ja ip aadressitega <br />
Defineeritakse erinevate tsoonide võrguliikluse piirangud<br />
Policy Tsoonide vaheline ligipääs<br />
Rules Määratakse teenuste kaupa ligipääsu reeglid<br />
Määratakse destination NAT (D-NAT) reeglid<br />
Masq Määratakse Source NAT (S-NAT) reeglid<br />
Shorewall.conf Üldise konfiguratsioonifaili määrangud<br />
... Muud piirangud<br />
<br />
<br />
<br />
PS. Kõik käsud, mis on toodud välja selles wiki's(referaadis) on käivitatud root kasutaja õigustes :-|<br />
<br />
<br />
<b>Abistavad käsud võrguliideste määramiseks konfiguratsioonifailides:</b><br />
<pre>ip route ls - käsu käivitamisel kuvatakse võrguaadressid </pre><br />
<pre>ifconfig -a - käsu käivitamisel kuvatakse võrguliidesed mis on defineeritud </pre><br />
<pre> route -n - käsu käivitamisel kuvatakse ruutingutabel </pre><br />
...<br />
<b>Abistavad käsud reeglite määramiseks konfiguratsioonifailides:</b><br />
<pre>netstat -tnl - selle käsuga väljastatakse info millised on tcp teenused </pre><br />
<pre>netstat -unl - selle käsuga väljastatakse info millised on udp teenused </pre><br />
<pre>netstat -luntp - selle käsuga väljastatakse info teenustest, mis töötavad sinu süsteemis </pre><br />
<pre>grep "teenuse nimi" /etc/services - väljastatakse päritud informatsioon </pre><br />
<br />
Näiteks vaatame mis port on https teenusel.<br />
<b>Kui teame teenuse nime:</b><br />
[student@student student]$ grep "https" /etc/services <br />
https 443/tcp # MCom<br />
https 443/udp # MCom<br />
<br />
<b>Kui teame teenuse porti:</b><br />
[student@student student]$ grep "443" /etc/services <br />
https 443/tcp # MCom<br />
https 443/udp # MCom<br />
<br />
<br />
<br />
...<br />
<br />
=Installeerimine=<br />
<br />
[http://www.shorewall.net/Install.htm Juhend ]<br />
<br />
Installerimiseks peame logima oma arvutisse, kuhu soovime shorewall tarkvara paigaldada.<br />
Installeerimiskäsud peab käivtama vastavate õigustega kasutaja (võimalik teha sudo -i ja minna root kasutaja õigustesse, või lisada kõikidele käskudele ette <b>sudo</b>).<br />
<br />
<pre>yum install shorewall</pre><br />
<br />
Lae alla shorewall 4.4.8 versioon käsurealt (vaata endale teine sobiv versioon ([http://slovakia.shorewall.net/pub/shorewall/ Vaata teine versioon])):<br />
<pre>wget http://slovakia.shorewall.net/pub/shorewall/4.4/shorewall-4.4.8/shorewall-4.4.8-2.noarch.rpm </pre><br />
<br />
Installeeri<br />
<pre>N: rpm -ivh <shorewall-4.4.8-2.noarch.rpm></pre><br />
<br />
Edaspdid siis asenda uuema versiooni rpm faili nimega<br />
<pre>rpm -ivh <shorewall rpm paketi nimi></pre><br />
<br />
TAR installeerimine käsurealt<br />
<pre>wget http://slovakia.shorewall.net/pub/shorewall/4.4/shorewall-4.4.8/shorewall-docs-html-4.4.8.tar.bz2</pre><br />
<br />
<pre>tar -jxf shorewall-x.x.x.tar.bz2</pre><br />
<pre>tar -xzf shorewall_versiooninr.tgz</pre><br />
Mine shorewall kausta (cd shorewallkaus) ja käivita käsk<br />
<pre>./install.sh</pre><br />
<br />
Kopeerime näidis konfiguratsioonifailid /etc/shorewall kausta (Debian)<br />
<pre> cp /usr/share/doc/shorewall/default-config/* /etc/shorewall/ </pre><br />
<br />
=Konfigureerimine=<br />
<br />
Shorewalli olulisemad konfiguratsioonifailid on zones, policy, rules ja shorewall.conf.<br />
Antud referaadi koostamisel lähtud kõige levinumast lahendusest, kus on üks <b>välisvõrgu ja sisevõrgu</b> liides.<br><br />
<br />
[http://www.shorewall.net/shorewall_setup_guide.htm Konfigureerimisest]<br />
<br />
<br><b> Zones (tsoonid) konfiguratsioonifail </b><br><br />
<br />
Ühe tsooni piires kehtivad ühensugused tulemüüri reeglid.<br />
Kõigepealt tuleb konfigureerida erinevad võrgu tsoonid. Kirjeldada tuleb tsoonidele nimed.<br />
Näiteks välisvõrk net (interNET) ja sisevõrk loc (LOCal või private).<br />
<br />
<br />
--- konfiguratsioonifaili sisu ---<br />
#ZONE TYPE OPTIONS IN OUT<br />
# OPTIONS OPTIONS<br />
fw firewall<br />
net ipv4<br />
loc ipv4<br />
<br />
<br><b> Interfaces konfiguratsioonifail</b><br><br />
Võrguliideste defineerimine. Siin määrame milline võrguliides vastab tsoonifailis oleva kirjeldusega. <br />
<br />
--- konfiguratsioonifaili sisu ---<br />
#ZONE INTERFACE BROADCAST OPTIONS<br />
net eth1 193.xxx.xxx.xxx routefilter<br />
loc eth0 172.xxx.xxx.255 dhcp,routeback<br />
<br />
Zone - tsoon mis on defineeritud zones failis.<br />
Interfaces - võrguliidese nimi.<br />
<br />
<br><b> Policy konfiguratsioonifail (General plan of action - tegevusplaan)</b><br><br />
<br />
--- konfiguratsioonifaili sisu ---<br />
#SOURCE DEST POLICY LOG LEVEL LIMIT:BURST<br />
loc net ACCEPT<br />
net all DROP info<br />
all all REJECT info<br />
<br />
<b> Rules (reeglid) konfiguratsioonifail </b><br><br />
Kõige tähtsam konfiguratsioonifail. <br />
Reeglite failis määratakse mis on lubatud ja keelatud. Kõikide uute ühenduste loomisel kontrollitakse tulemüüri reegleid.<br />
[http://www.shorewall.net/manpages/shorewall-rules.html Lisainfo reeglite kasutamisest]<br />
<br />
--- konfiguratsioonifaili sisu ---<br />
#ACTION SOURCE DEST PROTO DEST PORT(S)<br />
Web(DNAT) net loc:10.10.10.2 # lubame veebi (port 80) 10.10.10.2 masinasse<br />
ACCEPT dmz net tcp smtp # lubame smtp<br />
<br />
<br />
<b> shorewall.conf </b><br><br />
<br />
[http://www.shorewall.net/manpages/shorewall.conf.html Konfigureerimisest täpsemalt]<br />
<br />
<br />
Tuleks konfiguratsioonifailis muuta:<br />
<br />
#STARTUP_ENABLED=No<br />
STARTUP_ENABLED=Yes<br />
<br />
#IPTABLES=<br />
IPTABLES=/sbin/iptables<br />
<br />
#IP_FORWARDING=On<br />
IP_FORWARDING=Off<br />
<br />
<br />
Kui tulemüüri reeglid on paigas võiks proovida teenust käivitada teatud perioodiks, vältimaks ligipääsu probleeme ...<br />
<pre> shorewall try /etc/shorewall 120 </pre> <br />
Shorewall käivitatakse 120 sekundiks.<br />
<br />
=Teenus (start/stop/restart/status)=<br />
<br />
<pre> service shorewall start - teenuse käivitamine </pre><br />
<pre> service shorewall stop - teenuse seiskamine </pre><br />
<pre> service shorewall restart - teenuse taaskäivitamine </pre><br />
<pre> service shorewall status - teenuse oleku kuvamine (iptables reeglid, loodud ja loomisel ühendused, ...) </pre><br />
<br />
<br />
=Probleemid=<br />
<br />
Ära installeeri shorewalli kaughaldusena (muidu lõikad näppu ja ei pääse kaugelt süsteemile ligi).<br />
<br />
Kui shorewalli konfiguratsioonifailides on probleem, siis peaks vaatama logifaili<br />
<pre> less /var/log/shorewall-init.log </pre><br />
<br />
Logimine<br />
<br />
shorewall show log - näitab viimast 20 logitud rida<br />
shorewall logwatch - näitab logi teatud intervalliga<br />
shorewall dump - shorewall probleemide tuvastamiseks <br />
<br />
(erinevad võimalused: add, allow, check, clear, help, forget, hits, ipcalc, iprange, refresh, reject, show, try, )<br />
<br />
=Varundamine=<br />
<br />
Varundada on vaja konfiguratsioonifailid (näiteks asuvad konfiguratsioonifailid /etc/shorewall/ kaustas).<br />
<br />
<pre>ls -la /etc/shorewall/ - kuvatakse kausta shorewall sisu</pre> <br />
<br />
<pre>tar -zcp /etc/shorewall > /root/shorewall_reeglite_varu.tar.gz - pakime konfiguratsioonifailid kokku</pre><br />
<pre>cp -r /etc/shorewall > /root/varundamisekaust/shorewall - kopeerime failid varundamise kausta</pre><br />
<br />
<br />
=Eemaldamine=<br />
<br />
<b> Debian, Fedora, RedHat, Suse, Centos, Ubuntu, ... </b><br><br />
<pre> apt-get remove -purge shorewall </pre><br />
<pre> yum remove shorewall</pre><br />
<br />
RPM<br><br />
<pre>rpm -e shorewall</pre><br />
<br />
TAR<br><br />
Mine shorewalli kausta (cd /shorewall/kasuta/asukoht) ja käivita käsk<br />
<pre>./uninstall.sh</pre><br />
<br />
=Kokkuvõte=<br />
<br />
Shorewall tarkvara on lihtne paigaldada ja hallata. Paigaldamisel tuleb kasuks kui teate mõningaid teadmisi linuxi valdkonnast (alusta järgnevalt [https://wiki.itcollege.ee/index.php/Category:IT_infrastruktuuri_teenused lingilt]).<br />
<br />
Shorewall projektiga tegeletakse aktiivselt edasi ja soovitan huvilistel olla kursis uudistega, mille leiad järgnevalt [http://www.shorewall.net/News.htm lingilt].<br />
<br />
=Kasutatud kirjandus=<br />
* http://www.shorewall.net/<br />
* http://en.wikipedia.org/wiki/Shorewall<br />
* http://en.wikipedia.org/wiki/Netfilter<br />
* http://www.netfilter.org/<br />
* http://www.frozentux.net/documents/iptables-tutorial/<br />
* http://easyfwgen.morizot.net/gen/ - hea tulemüüri reeglite genereerimiseks<br />
<br />
<br />
[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]</div>Rkolgahttps://wiki.itcollege.ee/index.php?title=Talk:Shorewall&diff=7953Talk:Shorewall2010-04-28T08:22:48Z<p>Rkolga: </p>
<hr />
<div>Mille poolest Shorewall eristub teistest analoogsetest? Kas on mingi põhjus, miks just seda valida? Kas on midagi, mida netfilter võimaldab, kuid shorewall ei? [[User:Mernits|Mernits]] 14:36, 24 April 2010 (EEST)<br />
<br />
<br />
<h3>Vastused küsimustele</h3><br />
<br />
<br />
-----<br />
<b>Mille poolest Shorewall eristub teistest analoogsetest?</b><br />
-----<br />
Kahjuks ei ole minu linuxi põhiste tulemüüritarkvarade kasutusnimekiri kuigi pikk :-) Võimalik, et on sarnane toodet tehtud ja funktsionaalsuselt natuke kentsakam või parem ...<br />
<br />
Kindlasti eelistavad paljud kasutada graafilist tulemüürireeglite haldamise liidest.<br />
<br />
Võiks eristuda struktuuri poolest.<br />
-----<br />
-----<br />
<b>Kas on mingi põhjus, miks just seda valida? </b><br />
-----<br />
Kindlasti tekib parem ettekujutus toimuvast, kui kõik reeglid on eraldi failides. Lihtsus.<br />
<br />
<br />
-----<br />
-----<br />
<b>Kas on midagi, mida netfilter võimaldab, kuid shorewall ei?</b><br />
-----<br />
Ma arvan, et on :-)<br />
<br />
<br />
<br />
Netfilter / Shorewall<br />
<br />
Eelinfo:<br />
<br />
Netfilter:<br />
•stateless packet filtering (IPv4 and IPv6)<br />
•stateful packet filtering (IPv4 and IPv6)<br />
•all kinds of network address and port translation, e.g. NAT/NAPT (IPv4 only)<br />
•flexible and extensible infrastructure<br />
•multiple layers of API's for 3rd party extensions<br />
•large number of plugins/modules kept in 'patch-o-matic' repository<br />
<br />
Netfilter võimalused:<br />
•build internet firewalls based on stateless and stateful packet filtering<br />
•use NAT and masquerading for sharing internet access if you don't have enough public IP addresses<br />
•use NAT to implement transparent proxies<br />
•aid the tc and iproute2 systems used to build sophisticated QoS and policy routers<br />
•do further packet manipulation (mangling) like altering the TOS/DSCP/ECN bits of the IP header</div>Rkolgahttps://wiki.itcollege.ee/index.php?title=Talk:Shorewall&diff=7952Talk:Shorewall2010-04-28T08:22:18Z<p>Rkolga: </p>
<hr />
<div>Mille poolest Shorewall eristub teistest analoogsetest? Kas on mingi põhjus, miks just seda valida? Kas on midagi, mida netfilter võimaldab, kuid shorewall ei? [[User:Mernits|Mernits]] 14:36, 24 April 2010 (EEST)<br />
<br />
<br />
<h3>Vastused küsimustele</h3><br />
<br />
<br />
-----<br />
<b>Mille poolest Shorewall eristub teistest analoogsetest?</b><br />
-----<br />
Kahjuks ei ole minu linuxi põhiste tulemüüritarkvarade kasutusnimekiri kuigi pikk :-) Võimalik, et on sarnane toodet tehtud ja funktsionaalsuselt natuke kentsakam või parem ...<br />
<br />
Kindlasti eelistavad paljud kasutada graafilist tulemüürireeglite haldamise liidest.<br />
<br />
Võiks eristuda struktuuri poolest.<br />
-----<br />
-----<br />
<b>Kas on mingi põhjus, miks just seda valida? </b><br />
-----<br />
Kindlasti tekib parem ettekujutus toimuvast, kui kõik reeglid on eraldi failides. Lihtsus.<br />
<br />
<br />
-----<br />
-----<br />
<b>Kas on midagi, mida netfilter võimaldab, kuid shorewall ei?</b><br />
-----<br />
Ma arvan, et on :-)<br />
<br />
<br />
<br />
Netfilter:<br />
Local-host-to-local-gateway<br />
Local-gateway-to-remote-gateway<br />
<br />
<br />
<br />
<br />
Eelinfo:<br />
<br />
Netfilter:<br />
•stateless packet filtering (IPv4 and IPv6)<br />
•stateful packet filtering (IPv4 and IPv6)<br />
•all kinds of network address and port translation, e.g. NAT/NAPT (IPv4 only)<br />
•flexible and extensible infrastructure<br />
•multiple layers of API's for 3rd party extensions<br />
•large number of plugins/modules kept in 'patch-o-matic' repository<br />
<br />
Netfilter võimalused:<br />
•build internet firewalls based on stateless and stateful packet filtering<br />
•use NAT and masquerading for sharing internet access if you don't have enough public IP addresses<br />
•use NAT to implement transparent proxies<br />
•aid the tc and iproute2 systems used to build sophisticated QoS and policy routers<br />
•do further packet manipulation (mangling) like altering the TOS/DSCP/ECN bits of the IP header</div>Rkolgahttps://wiki.itcollege.ee/index.php?title=Talk:Shorewall&diff=7599Talk:Shorewall2010-04-26T12:44:23Z<p>Rkolga: </p>
<hr />
<div>Mille poolest Shorewall eristub teistest analoogsetest? Kas on mingi põhjus, miks just seda valida? Kas on midagi, mida netfilter võimaldab, kuid shorewall ei? [[User:Mernits|Mernits]] 14:36, 24 April 2010 (EEST)<br />
<br />
<br />
<h3>Vastused küsimustele</h3><br />
<br />
<br />
-----<br />
<b>Mille poolest Shorewall eristub teistest analoogsetest?</b><br />
-----<br />
Kahjuks ei ole minu linuxi põhiste tulemüüritarkvarade kasutusnimekiri kuigi pikk :-) Võimalik, et on sarnane toodet tehtud ja funktsionaalsuselt natuke kentsakam või parem ...<br />
<br />
Kindlasti eelistavad paljud kasutada graafilist tulemüürireeglite haldamise liidest.<br />
<br />
Võiks eristuda struktuuri poolest.<br />
-----<br />
-----<br />
<b>Kas on mingi põhjus, miks just seda valida? </b><br />
-----<br />
Kindlasti tekib parem ettekujutus toimuvast, kui kõik reeglid on eraldi failides. Lihtsus.<br />
<br />
<br />
-----<br />
-----<br />
<b>Kas on midagi, mida netfilter võimaldab, kuid shorewall ei?</b><br />
-----<br />
<br />
<br />
<br />
Netfilter:<br />
Local-host-to-local-gateway<br />
Local-gateway-to-remote-gateway<br />
<br />
<br />
<br />
<br />
Eelinfo:<br />
<br />
Netfilter:<br />
•stateless packet filtering (IPv4 and IPv6)<br />
•stateful packet filtering (IPv4 and IPv6)<br />
•all kinds of network address and port translation, e.g. NAT/NAPT (IPv4 only)<br />
•flexible and extensible infrastructure<br />
•multiple layers of API's for 3rd party extensions<br />
•large number of plugins/modules kept in 'patch-o-matic' repository<br />
<br />
Netfilter võimalused:<br />
•build internet firewalls based on stateless and stateful packet filtering<br />
•use NAT and masquerading for sharing internet access if you don't have enough public IP addresses<br />
•use NAT to implement transparent proxies<br />
•aid the tc and iproute2 systems used to build sophisticated QoS and policy routers<br />
•do further packet manipulation (mangling) like altering the TOS/DSCP/ECN bits of the IP header</div>Rkolgahttps://wiki.itcollege.ee/index.php?title=Talk:Shorewall&diff=7595Talk:Shorewall2010-04-26T12:17:52Z<p>Rkolga: </p>
<hr />
<div>Mille poolest Shorewall eristub teistest analoogsetest? Kas on mingi põhjus, miks just seda valida? Kas on midagi, mida netfilter võimaldab, kuid shorewall ei? [[User:Mernits|Mernits]] 14:36, 24 April 2010 (EEST)<br />
<br />
<br />
<h3>Vastused küsimustele</h3><br />
<br />
<br />
-----<br />
<b>Mille poolest Shorewall eristub teistest analoogsetest?</b><br />
-----<br />
Kahjuks ei ole minu linuxi põhiste tulemüüritarkvarade kasutusnimekiri kuigi pikk :-) Võimalik, et on sarnane toodet tehtud ja funktsionaalsuselt natuke kentsakam või parem ...<br />
<br />
Kindlasti eelistavad paljud kasutada graafilist tulemüürireeglite haldamise liidest.<br />
<br />
Võiks eristuda struktuuri poolest.<br />
-----<br />
-----<br />
<b>Kas on mingi põhjus, miks just seda valida? </b><br />
-----<br />
Kindlasti tekib parem ettekujutus toimuvast, kui kõik reeglid on eraldi failides. Lihtsus.<br />
<br />
<br />
-----<br />
-----<br />
<b>Kas on midagi, mida netfilter võimaldab, kuid shorewall ei?</b><br />
-----<br />
<br />
<br />
<br />
Eelinfo:<br />
<br />
Netfilter võimalused.<br />
•stateless packet filtering (IPv4 and IPv6)<br />
•stateful packet filtering (IPv4 and IPv6)<br />
•all kinds of network address and port translation, e.g. NAT/NAPT (IPv4 only)<br />
•flexible and extensible infrastructure<br />
•multiple layers of API's for 3rd party extensions<br />
•large number of plugins/modules kept in 'patch-o-matic' repository</div>Rkolgahttps://wiki.itcollege.ee/index.php?title=Talk:Shorewall&diff=7590Talk:Shorewall2010-04-26T10:38:56Z<p>Rkolga: </p>
<hr />
<div>Mille poolest Shorewall eristub teistest analoogsetest? Kas on mingi põhjus, miks just seda valida? Kas on midagi, mida netfilter võimaldab, kuid shorewall ei? [[User:Mernits|Mernits]] 14:36, 24 April 2010 (EEST)<br />
<br />
<br />
<h3>Vastused küsimustele</h3><br />
<br />
<br />
-----<br />
<b>Mille poolest Shorewall eristub teistest analoogsetest?</b><br />
-----<br />
Kahjuks ei ole minu linuxi põhiste tulemüüritarkvarade kasutusnimekiri kuigi pikk :-) Võimalik, et on sarnane toodet tehtud ja funktsionaalsuselt natuke kentsakam või parem ...<br />
<br />
Kindlasti eelistavad paljud kasutada graafilist tulemüürireeglite haldamise liidest.<br />
<br />
Võiks erisutda struktuuri poolest.<br />
-----<br />
-----<br />
<b>Kas on mingi põhjus, miks just seda valida? </b><br />
-----<br />
Kindlasti tekib parem ettekujutus toimuvast, kui kõik reeglid on eraldi failides. Lihtsus.<br />
<br />
<br />
-----<br />
-----<br />
<b>Kas on midagi, mida netfilter võimaldab, kuid shorewall ei?</b><br />
-----<br />
<br />
<br />
<br />
Eelinfo:<br />
<br />
Netfilter võimalused.<br />
•stateless packet filtering (IPv4 and IPv6)<br />
•stateful packet filtering (IPv4 and IPv6)<br />
•all kinds of network address and port translation, e.g. NAT/NAPT (IPv4 only)<br />
•flexible and extensible infrastructure<br />
•multiple layers of API's for 3rd party extensions<br />
•large number of plugins/modules kept in 'patch-o-matic' repository</div>Rkolgahttps://wiki.itcollege.ee/index.php?title=Talk:Shorewall&diff=7588Talk:Shorewall2010-04-26T10:27:11Z<p>Rkolga: </p>
<hr />
<div>Mille poolest Shorewall eristub teistest analoogsetest? Kas on mingi põhjus, miks just seda valida? Kas on midagi, mida netfilter võimaldab, kuid shorewall ei? [[User:Mernits|Mernits]] 14:36, 24 April 2010 (EEST)<br />
<br />
<br />
<h3>Vastused küsimustele</h3><br />
<br />
<br />
-----<br />
<b>Mille poolest Shorewall eristub teistest analoogsetest?</b><br />
-----<br />
Kahjuks ei ole minu linuxi põhiste tulemüüritarkvarade kasutusnimekiri kuigi pikk :-) Võimalik, et on sarnane toodet tehtud ja funktsionaalsuselt natuke kentsakam või parem ...<br />
<br />
Kindlasti eelistavad paljud kasutada graafilist tulemüürireeglite haldamise liidest.<br />
<br />
Võiks erisutda struktuuri poolest.<br />
-----<br />
-----<br />
<b>Kas on mingi põhjus, miks just seda valida? </b><br />
-----<br />
Kindlasti tekib parem ettekujutus toimuvast, kui kõik reeglid on eraldi failides. Lihtsus.<br />
<br />
<br />
-----<br />
-----<br />
<b>Kas on midagi, mida netfilter võimaldab, kuid shorewall ei?</b><br />
-----<br />
<br />
Eelinfo:<br />
<br />
Netfilter võimalused.<br />
•stateless packet filtering (IPv4 and IPv6)<br />
•stateful packet filtering (IPv4 and IPv6)<br />
•all kinds of network address and port translation, e.g. NAT/NAPT (IPv4 only)<br />
•flexible and extensible infrastructure<br />
•multiple layers of API's for 3rd party extensions<br />
•large number of plugins/modules kept in 'patch-o-matic' repository</div>Rkolgahttps://wiki.itcollege.ee/index.php?title=Talk:Shorewall&diff=7586Talk:Shorewall2010-04-26T10:26:39Z<p>Rkolga: </p>
<hr />
<div>Mille poolest Shorewall eristub teistest analoogsetest? Kas on mingi põhjus, miks just seda valida? Kas on midagi, mida netfilter võimaldab, kuid shorewall ei? [[User:Mernits|Mernits]] 14:36, 24 April 2010 (EEST)<br />
<br />
<br />
Vastused küsimustele<br />
<br />
<br />
-----<br />
<b>Mille poolest Shorewall eristub teistest analoogsetest?</b><br />
-----<br />
Kahjuks ei ole minu linuxi põhiste tulemüüritarkvarade kasutusnimekiri kuigi pikk :-) Võimalik, et on sarnane toodet tehtud ja funktsionaalsuselt natuke kentsakam või parem ...<br />
<br />
Kindlasti eelistavad paljud kasutada graafilist tulemüürireeglite haldamise liidest.<br />
<br />
Võiks erisutda struktuuri poolest.<br />
-----<br />
-----<br />
<b>Kas on mingi põhjus, miks just seda valida? </b><br />
-----<br />
Kindlasti tekib parem ettekujutus toimuvast, kui kõik reeglid on eraldi failides. Lihtsus.<br />
<br />
<br />
-----<br />
-----<br />
<b>Kas on midagi, mida netfilter võimaldab, kuid shorewall ei?</b><br />
-----<br />
<br />
Eelinfo:<br />
<br />
Netfilter võimalused.<br />
•stateless packet filtering (IPv4 and IPv6)<br />
•stateful packet filtering (IPv4 and IPv6)<br />
•all kinds of network address and port translation, e.g. NAT/NAPT (IPv4 only)<br />
•flexible and extensible infrastructure<br />
•multiple layers of API's for 3rd party extensions<br />
•large number of plugins/modules kept in 'patch-o-matic' repository</div>Rkolgahttps://wiki.itcollege.ee/index.php?title=Talk:Shorewall&diff=7584Talk:Shorewall2010-04-26T10:17:44Z<p>Rkolga: </p>
<hr />
<div>Mille poolest Shorewall eristub teistest analoogsetest? Kas on mingi põhjus, miks just seda valida? Kas on midagi, mida netfilter võimaldab, kuid shorewall ei? [[User:Mernits|Mernits]] 14:36, 24 April 2010 (EEST)<br />
<br />
<br />
Vastused küsimustele<br />
<br />
<br />
-----<br />
<b>Mille poolest Shorewall eristub teistest analoogsetest?</b><br />
-----<br />
Kahjuks ei ole minu linuxi põhiste tulemüüritarkvarade kasutusnimekiri kuigi pikk :-) Võimalik, et on sarnane toodet tehtud ja funktsionaalsuselt natuke kentsakam või parem ...<br />
<br />
Kindlasti eelistavad paljud kasutada graafilist tulemüürireeglite haldamise liidest.<br />
<br />
Võiks erisutda struktuuri poolest.<br />
-----<br />
-----<br />
<b>Kas on mingi põhjus, miks just seda valida? </b><br />
-----<br />
Kindlasti tekib parem ettekujutus toimuvast, kui kõik reeglid on eraldi failides.<br />
<br />
<br />
-----<br />
-----<br />
<b>Kas on midagi, mida netfilter võimaldab, kuid shorewall ei?</b><br />
-----<br />
<br />
Eelinfo:<br />
<br />
Netfilter võimalused.<br />
•stateless packet filtering (IPv4 and IPv6)<br />
•stateful packet filtering (IPv4 and IPv6)<br />
•all kinds of network address and port translation, e.g. NAT/NAPT (IPv4 only)<br />
•flexible and extensible infrastructure<br />
•multiple layers of API's for 3rd party extensions<br />
•large number of plugins/modules kept in 'patch-o-matic' repository</div>Rkolgahttps://wiki.itcollege.ee/index.php?title=Talk:Shorewall&diff=7577Talk:Shorewall2010-04-26T06:47:30Z<p>Rkolga: </p>
<hr />
<div>Mille poolest Shorewall eristub teistest analoogsetest? Kas on mingi põhjus, miks just seda valida? Kas on midagi, mida netfilter võimaldab, kuid shorewall ei? [[User:Mernits|Mernits]] 14:36, 24 April 2010 (EEST)<br />
<br />
<br />
Vastused küsimustele<br />
<br />
<br />
-----<br />
<b>Mille poolest Shorewall eristub teistest analoogsetest?</b><br />
-----<br />
Kahjuks ei ole minu linuxi põhiste tulemüüritarkvarade kasutusnimekiri kuigi pikk :-) Võimalik, et on sarnane toodet tehtud ja funktsionaalsuselt natuke kentsakam või parem ...<br />
<br />
Kindlasti eelistavad paljud kasutada graafilist tulemüürireeglite haldamise liidest.<br />
<br />
Võiks erisutda struktuuri poolest.<br />
-----<br />
-----<br />
<b>Kas on mingi põhjus, miks just seda valida? </b><br />
-----<br />
Kindlasti tekib parem ettekujutus toimuvast, kui kõik reeglid on eraldi failides.<br />
<br />
<br />
-----<br />
-----<br />
<b>Kas on midagi, mida netfilter võimaldab, kuid shorewall ei?</b><br />
-----<br />
<br />
Eelinfo:<br />
<br />
Netfilter võimalused.<br />
•stateless packet filtering (IPv4 and IPv6)<br />
•stateful packet filtering (IPv4 and IPv6)<br />
•all kinds of network address and port translation, e.g. NAT/NAPT (IPv4 only)<br />
•flexible and extensible infrastructure<br />
•multiple layers of API's for 3rd party extensions<br />
•large number of plugins/modules kept in 'patch-o-matic' repository</div>Rkolgahttps://wiki.itcollege.ee/index.php?title=Shorewall&diff=7576Shorewall2010-04-26T06:29:09Z<p>Rkolga: /* Konfigureerimine */</p>
<hr />
<div><br><br />
<b> Autor: </b> Ragnar Kolga - AK32<br />
<br />
=Sissejuhatus=<br />
<br />
<b> Shorewall (alias Shoreline Firewall)</b> on tarkvaraline vahend netfiltri konfigureerimiseks Linuxis (linux - operatsioonisüsteem linux kernelil).<br />
<b>Netfilter</b> koos kasutajaliidesega iptables on paketifilter. Shorewall konfigureerib Netfiltri, kasutades konfiguratsioonifaile ja seda iptables utiliidi vahendusel. Shorewalli on võimalik kasutada tulemüürina väga erinevatel seadmetel (ruuteritel, serveritel, ...).<br />
<br />
Shorewall teeb lihtsamaks tulemüürireeglite manageerimise. Reeglid defineeritakse tekstifailides ja on lihtsasti muudetavad.<br />
Uuele kasutajale selles valdkonnas on kindlasti lihtsamaid tulemüüri reeglite haldamise vahendeid, millel on olemas ka graafiline liides.<br />
<br />
Alates 4.2 versioonist on toetatud ka IPv6.<br />
<br />
Viimane stabiilne versioon on 4.4.7 (04.2010 seisuga).<br />
Shorewalli tarkvara on saadaval ingliskeelsena. Litsents on GPLv2 ja üks arendajatest on Thomas M.Eastep.<br />
<br />
=Eelinfo=<br />
<br />
Oluline oleks veel teada, et <b>netfilter</b> lubab defineerida reegleid, kuidas käsitletakse võrgupakette.<br />
<br />
Netfilter koosneb erinevatest ahelast : <br />
INPUT - sissetulevad paketid <br />
OUTPUT - väljuvad paketid <br />
FORWARD - edastatavad paketid <br />
PREROUTING ja POSTROUTING - põhiliselt NAT tegemiseks (kui ei ole piisavalt avalike ip aadresse siis tuleb kasutada NAT-i). <br />
<br />
Siinkohal tooks veel välja, et <b>iptables</b> on vahend netfilter tabelite konfigureerimiseks (reeglitest koosnevad tabelid).<br />
<br />
Alustuseks tuleks luua üldine võrgu skeem ( [http://docs.huihoo.com/shorewall/2.0/images/basics.png Joonis] [http://docs.huihoo.com/shorewall/2.0/images Veel erinevaid lahendusi]). <br />
<br />
Järgnevalt tooksin välja tegevused shorewalli konfiguratsioonifailidega (abiks edaspidistel tegevustel ja tekib parem ettekujutus toimuvast).<br />
<br />
<b> Fail Tegevus </b><br />
Zones Võrgu jagamine tsoonideks <br />
Hosts, Interfaces Defineeritakse tsoonid tulemüüri liideste ja ip aadressitega <br />
Defineeritakse erinevate tsoonide võrguliikluse piirangud<br />
Policy Tsoonide vaheline ligipääs<br />
Rules Määratakse teenuste kaupa ligipääsu reeglid<br />
Määratakse destination NAT (D-NAT) reeglid<br />
Masq Määratakse Source NAT (S-NAT) reeglid<br />
Shorewall.conf Üldise konfiguratsioonifaili määrangud<br />
... Muud piirangud<br />
<br />
<br />
<br />
PS. Kõik käsud, mis on toodud välja selles wiki's(referaadis) on käivitatud root kasutaja õigustes :-|<br />
<br />
<br />
<b>Abistavad käsud võrguliideste määramiseks konfiguratsioonifailides:</b><br />
<pre>ip route ls - käsu käivitamisel kuvatakse võrguaadressid </pre><br />
<pre>ifconfig -a - käsu käivitamisel kuvatakse võrguliidesed mis on defineeritud </pre><br />
<pre> route -n - käsu käivitamisel kuvatakse ruutingutabel </pre><br />
...<br />
<b>Abistavad käsud reeglite määramiseks konfiguratsioonifailides:</b><br />
<pre>netstat -tnl - selle käsuga väljastatakse info millised on tcp teenused </pre><br />
<pre>netstat -unl - selle käsuga väljastatakse info millised on udp teenused </pre><br />
<pre>netstat -luntp - selle käsuga väljastatakse info teenustest, mis töötavad sinu süsteemis </pre><br />
<pre>grep "teenuse nimi" /etc/services - väljastatakse päritud informatsioon </pre><br />
<br />
Näiteks vaatame mis port on https teenusel.<br />
<b>Kui teame teenuse nime:</b><br />
[student@student student]$ grep "https" /etc/services <br />
https 443/tcp # MCom<br />
https 443/udp # MCom<br />
<br />
<b>Kui teame teenuse porti:</b><br />
[student@student student]$ grep "443" /etc/services <br />
https 443/tcp # MCom<br />
https 443/udp # MCom<br />
<br />
<br />
<br />
...<br />
<br />
=Installeerimine=<br />
<br />
[http://www.shorewall.net/Install.htm Juhend ]<br />
<br />
Installerimiseks peame logima oma arvutisse, kuhu soovime shorewall tarkvara paigaldada.<br />
Installeerimiskäsud peab käivtama vastavate õigustega kasutaja (võimalik teha sudo -i ja minna root kasutaja õigustesse, või lisada kõikidele käskudele ette <b>sudo</b>).<br />
<br />
<pre>yum install shorewall</pre><br />
<br />
Lae alla shorewall 4.4.8 versioon käsurealt (vaata endale teine sobiv versioon ([http://slovakia.shorewall.net/pub/shorewall/ Vaata teine versioon])):<br />
<pre>wget http://slovakia.shorewall.net/pub/shorewall/4.4/shorewall-4.4.8/shorewall-4.4.8-2.noarch.rpm </pre><br />
<br />
Installeeri<br />
<pre>N: rpm -ivh <shorewall-4.4.8-2.noarch.rpm></pre><br />
<br />
Edaspdid siis asenda uuema versiooni rpm faili nimega<br />
<pre>rpm -ivh <shorewall rpm paketi nimi></pre><br />
<br />
TAR installeerimine käsurealt<br />
<pre>wget http://slovakia.shorewall.net/pub/shorewall/4.4/shorewall-4.4.8/shorewall-docs-html-4.4.8.tar.bz2</pre><br />
<br />
<pre>tar -jxf shorewall-x.x.x.tar.bz2</pre><br />
<pre>tar -xzf shorewall_versiooninr.tgz</pre><br />
Mine shorewall kausta (cd shorewallkaus) ja käivita käsk<br />
<pre>./install.sh</pre><br />
<br />
Kopeerime näidis konfiguratsioonifailid /etc/shorewall kausta (Debian)<br />
<pre> cp /usr/share/doc/shorewall/default-config/* /etc/shorewall/ </pre><br />
<br />
=Konfigureerimine=<br />
<br />
Shorewalli olulisemad konfiguratsioonifailid on zones, policy, rules ja shorewall.conf.<br />
Antud referaadi koostamisel lähtud kõige levinumast lahendusest, kus on üks <b>välisvõrgu ja sisevõrgu</b> liides.<br><br />
<br />
[http://www.shorewall.net/shorewall_setup_guide.htm Konfigureerimisest]<br />
<br />
<br><b> Zones (tsoonid) konfiguratsioonifail </b><br><br />
<br />
Ühe tsooni piires kehtivad ühensugused tulemüüri reeglid.<br />
Kõigepealt tuleb konfigureerida erinevad võrgu tsoonid. Kirjeldada tuleb tsoonidele nimed.<br />
Näiteks välisvõrk net (interNET) ja sisevõrk loc (LOCal või private).<br />
<br />
<br />
--- konfiguratsioonifaili sisu ---<br />
#ZONE TYPE OPTIONS IN OUT<br />
# OPTIONS OPTIONS<br />
fw firewall<br />
net ipv4<br />
loc ipv4<br />
<br />
<br><b> Interfaces konfiguratsioonifail</b><br><br />
Võrguliideste defineerimine. Siin määrame milline võrguliides vastab tsoonifailis oleva kirjeldusega. <br />
<br />
--- konfiguratsioonifaili sisu ---<br />
#ZONE INTERFACE BROADCAST OPTIONS<br />
net eth1 193.xxx.xxx.xxx routefilter<br />
loc eth0 172.xxx.xxx.255 dhcp,routeback<br />
<br />
Zone - tsoon mis on defineeritud zones failis.<br />
Interfaces - võrguliidese nimi.<br />
<br />
<br><b> Policy konfiguratsioonifail (General plan of action - tegevusplaan)</b><br><br />
<br />
--- konfiguratsioonifaili sisu ---<br />
#SOURCE DEST POLICY LOG LEVEL LIMIT:BURST<br />
loc net ACCEPT<br />
net all DROP info<br />
all all REJECT info<br />
<br />
<b> Rules (reeglid) konfiguratsioonifail </b><br><br />
Kõige tähtsam konfiguratsioonifail. <br />
Reeglite failis määratakse mis on lubatud ja keelatud. Kõikide uute ühenduste loomisel kontrollitakse tulemüüri reegleid.<br />
[http://www.shorewall.net/manpages/shorewall-rules.html Lisainfo reeglite kasutamisest]<br />
<br />
--- konfiguratsioonifaili sisu ---<br />
#ACTION SOURCE DEST PROTO DEST PORT(S)<br />
Web(DNAT) net loc:10.10.10.2 # lubame veebi (port 80) 10.10.10.2 masinasse<br />
ACCEPT dmz net tcp smtp # lubame smtp<br />
<br />
<br />
<b> shorewall.conf </b><br><br />
<br />
[http://www.shorewall.net/manpages/shorewall.conf.html Konfigureerimisest täpsemalt]<br />
<br />
<br />
Tuleks konfiguratsioonifailis muuta:<br />
<br />
#STARTUP_ENABLED=No<br />
STARTUP_ENABLED=Yes<br />
<br />
#IPTABLES=<br />
IPTABLES=/sbin/iptables<br />
<br />
#IP_FORWARDING=On<br />
IP_FORWARDING=Off<br />
<br />
<br />
Kui tulemüüri reeglid on paigas võiks proovida teenust käivitada teatud perioodiks, vältimaks ligipääsu probleeme ...<br />
<pre> shorewall try /etc/shorewall 120 </pre> <br />
Shorewall käivitatakse 120 sekundiks.<br />
<br />
=Teenus (start/stop/restart/status)=<br />
<br />
<pre> service shorewall start - teenuse käivitamine </pre><br />
<pre> service shorewall stop - teenuse seiskamine </pre><br />
<pre> service shorewall restart - teenuse taaskäivitamine </pre><br />
<pre> service shorewall status - teenuse oleku kuvamine (iptables reeglid, loodud ja loomisel ühendused, ...) </pre><br />
<br />
<br />
=Probleemid=<br />
<br />
Ära installeeri shorewalli kaughaldusena (muidu lõikad näppu ja ei pääse kaugelt süsteemile ligi).<br />
<br />
Kui shorewalli konfiguratsioonifailides on probleem, siis peaks vaatama logifaili<br />
<pre> less /var/log/shorewall-init.log </pre><br />
<br />
Logimine<br />
<br />
shorewall show log - näitab viimast 20 logitud rida<br />
shorewall logwatch - näitab logi teatud intervalliga<br />
shorewall dump - shorewall probleemide tuvastamiseks <br />
<br />
(erinevad võimalused: add, allow, check, clear, help, forget, hits, ipcalc, iprange, refresh, reject, show, try, )<br />
<br />
=Varundamine=<br />
<br />
Varundada on vaja konfiguratsioonifailid (näiteks asuvad konfiguratsioonifailid /etc/shorewall/ kaustas).<br />
<br />
<pre>ls -la /etc/shorewall/ - kuvatakse kausta shorewall sisu</pre> <br />
<br />
<pre>tar -zcp /etc/shorewall > /root/shorewall_reeglite_varu.tar.gz - pakime konfiguratsioonifailid kokku</pre><br />
<pre>cp -r /etc/shorewall > /root/varundamisekaust/shorewall - kopeerime failid varundamise kausta</pre><br />
<br />
=Eemaldamine=<br />
<br />
<b> Debian, Fedora, RedHat, Suse, Centos, Ubuntu, ... </b><br><br />
<pre> apt-get remove -purge shorewall </pre><br />
<pre> yum remove shorewall</pre><br />
<br />
RPM<br><br />
<pre>rpm -e shorewall</pre><br />
<br />
TAR<br><br />
Mine shorewalli kausta (cd /shorewall/kasuta/asukoht) ja käivita käsk<br />
<pre>./uninstall.sh</pre><br />
<br />
=Kokkuvõte=<br />
<br />
Shorewall tarkvara on lihtne paigaldada ja hallata. Paigaldamisel tuleb kasuks kui teate mõningaid teadmisi linuxi valdkonnast (alusta järgnevalt [https://wiki.itcollege.ee/index.php/Category:IT_infrastruktuuri_teenused lingilt]).<br />
<br />
Shorewall projektiga tegeletakse aktiivselt edasi ja soovitan huvilistel olla kursis uudistega, mille leiad järgnevalt [http://www.shorewall.net/News.htm lingilt].<br />
<br />
=Kasutatud kirjandus=<br />
* http://www.shorewall.net/<br />
* http://en.wikipedia.org/wiki/Shorewall<br />
* http://en.wikipedia.org/wiki/Netfilter<br />
* http://www.netfilter.org/<br />
* http://www.frozentux.net/documents/iptables-tutorial/<br />
* http://easyfwgen.morizot.net/gen/ - hea tulemüüri reeglite genereerimiseks<br />
<br />
<br />
[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]</div>Rkolgahttps://wiki.itcollege.ee/index.php?title=Talk:Shorewall&diff=7573Talk:Shorewall2010-04-26T06:21:48Z<p>Rkolga: </p>
<hr />
<div>Mille poolest Shorewall eristub teistest analoogsetest? Kas on mingi põhjus, miks just seda valida? Kas on midagi, mida netfilter võimaldab, kuid shorewall ei? [[User:Mernits|Mernits]] 14:36, 24 April 2010 (EEST)<br />
<br />
<br />
Vastused küsimustele<br />
<br />
<br />
-----<br />
<b>Mille poolest Shorewall eristub teistest analoogsetest?</b><br />
-----<br />
Kahjuks ei ole minu linuxi põhiste tulemüüritarkvarade kasutusnimekiri kuigi pikk :-) Võimalik, et on sarnane toodet tehtud ja funktsionaalsuselt natuke kentsakam või parem ...<br />
<br />
Kindlasti eelistavad paljud kasutada graafilist tulemüürireeglite haldamise liidest.<br />
<br />
Võiks erisutda struktuuri poolest.<br />
-----<br />
-----<br />
<b>Kas on mingi põhjus, miks just seda valida? </b><br />
-----<br />
Kindlasti tekib parem ettekujutus toimuvast, kui kõik reeglid on eraldi failides.<br />
<br />
<br />
-----<br />
-----<br />
<b>Kas on midagi, mida netfilter võimaldab, kuid shorewall ei?</b><br />
<br />
-----</div>Rkolgahttps://wiki.itcollege.ee/index.php?title=Talk:Shorewall&diff=7571Talk:Shorewall2010-04-26T06:17:36Z<p>Rkolga: </p>
<hr />
<div>Mille poolest Shorewall eristub teistest analoogsetest? Kas on mingi põhjus, miks just seda valida? Kas on midagi, mida netfilter võimaldab, kuid shorewall ei? [[User:Mernits|Mernits]] 14:36, 24 April 2010 (EEST)<br />
<br />
<br />
Vastused küsimustele<br />
<br />
<br />
-----<br />
<b>Mille poolest Shorewall eristub teistest analoogsetest?</b><br />
-----<br />
Isiklikult on kogemusi ainult iptables,<br />
<br />
<br />
-----<br />
-----<br />
<b>Kas on mingi põhjus, miks just seda valida? </b><br />
-----<br />
Kindlasti tekib parem ettekujutus toimuvast, kui kõik reeglid on eraldi failides. <br />
<br />
<br />
-----<br />
-----<br />
<b>Kas on midagi, mida netfilter võimaldab, kuid shorewall ei?</b><br />
<br />
-----</div>Rkolgahttps://wiki.itcollege.ee/index.php?title=Shorewall&diff=6914Shorewall2010-04-17T12:28:15Z<p>Rkolga: /* Eelinfo */</p>
<hr />
<div><br><br />
<b> Autor: </b> Ragnar Kolga - AK32<br />
<br />
=Sissejuhatus=<br />
<br />
<b> Shorewall (alias Shoreline Firewall)</b> on tarkvaraline vahend netfiltri konfigureerimiseks Linuxis (linux - operatsioonisüsteem linux kernelil).<br />
<b>Netfilter</b> koos kasutajaliidesega iptables on paketifilter. Shorewall konfigureerib Netfiltri, kasutades konfiguratsioonifaile ja seda iptables utiliidi vahendusel. Shorewalli on võimalik kasutada tulemüürina väga erinevatel seadmetel (ruuteritel, serveritel, ...).<br />
<br />
Shorewall teeb lihtsamaks tulemüürireeglite manageerimise. Reeglid defineeritakse tekstifailides ja on lihtsasti muudetavad.<br />
Uuele kasutajale selles valdkonnas on kindlasti lihtsamaid tulemüüri reeglite haldamise vahendeid, millel on olemas ka graafiline liides.<br />
<br />
Alates 4.2 versioonist on toetatud ka IPv6.<br />
<br />
Viimane stabiilne versioon on 4.4.7 (04.2010 seisuga).<br />
Shorewalli tarkvara on saadaval ingliskeelsena. Litsents on GPLv2 ja üks arendajatest on Thomas M.Eastep.<br />
<br />
=Eelinfo=<br />
<br />
Oluline oleks veel teada, et <b>netfilter</b> lubab defineerida reegleid, kuidas käsitletakse võrgupakette.<br />
<br />
Netfilter koosneb erinevatest ahelast : <br />
INPUT - sissetulevad paketid <br />
OUTPUT - väljuvad paketid <br />
FORWARD - edastatavad paketid <br />
PREROUTING ja POSTROUTING - põhiliselt NAT tegemiseks (kui ei ole piisavalt avalike ip aadresse siis tuleb kasutada NAT-i). <br />
<br />
Siinkohal tooks veel välja, et <b>iptables</b> on vahend netfilter tabelite konfigureerimiseks (reeglitest koosnevad tabelid).<br />
<br />
Alustuseks tuleks luua üldine võrgu skeem ( [http://docs.huihoo.com/shorewall/2.0/images/basics.png Joonis] [http://docs.huihoo.com/shorewall/2.0/images Veel erinevaid lahendusi]). <br />
<br />
Järgnevalt tooksin välja tegevused shorewalli konfiguratsioonifailidega (abiks edaspidistel tegevustel ja tekib parem ettekujutus toimuvast).<br />
<br />
<b> Fail Tegevus </b><br />
Zones Võrgu jagamine tsoonideks <br />
Hosts, Interfaces Defineeritakse tsoonid tulemüüri liideste ja ip aadressitega <br />
Defineeritakse erinevate tsoonide võrguliikluse piirangud<br />
Policy Tsoonide vaheline ligipääs<br />
Rules Määratakse teenuste kaupa ligipääsu reeglid<br />
Määratakse destination NAT (D-NAT) reeglid<br />
Masq Määratakse Source NAT (S-NAT) reeglid<br />
Shorewall.conf Üldise konfiguratsioonifaili määrangud<br />
... Muud piirangud<br />
<br />
<br />
<br />
PS. Kõik käsud, mis on toodud välja selles wiki's(referaadis) on käivitatud root kasutaja õigustes :-|<br />
<br />
<br />
<b>Abistavad käsud võrguliideste määramiseks konfiguratsioonifailides:</b><br />
<pre>ip route ls - käsu käivitamisel kuvatakse võrguaadressid </pre><br />
<pre>ifconfig -a - käsu käivitamisel kuvatakse võrguliidesed mis on defineeritud </pre><br />
<pre> route -n - käsu käivitamisel kuvatakse ruutingutabel </pre><br />
...<br />
<b>Abistavad käsud reeglite määramiseks konfiguratsioonifailides:</b><br />
<pre>netstat -tnl - selle käsuga väljastatakse info millised on tcp teenused </pre><br />
<pre>netstat -unl - selle käsuga väljastatakse info millised on udp teenused </pre><br />
<pre>netstat -luntp - selle käsuga väljastatakse info teenustest, mis töötavad sinu süsteemis </pre><br />
<pre>grep "teenuse nimi" /etc/services - väljastatakse päritud informatsioon </pre><br />
<br />
Näiteks vaatame mis port on https teenusel.<br />
<b>Kui teame teenuse nime:</b><br />
[student@student student]$ grep "https" /etc/services <br />
https 443/tcp # MCom<br />
https 443/udp # MCom<br />
<br />
<b>Kui teame teenuse porti:</b><br />
[student@student student]$ grep "443" /etc/services <br />
https 443/tcp # MCom<br />
https 443/udp # MCom<br />
<br />
<br />
<br />
...<br />
<br />
=Installeerimine=<br />
<br />
[http://www.shorewall.net/Install.htm Juhend ]<br />
<br />
Installerimiseks peame logima oma arvutisse, kuhu soovime shorewall tarkvara paigaldada.<br />
Installeerimiskäsud peab käivtama vastavate õigustega kasutaja (võimalik teha sudo -i ja minna root kasutaja õigustesse, või lisada kõikidele käskudele ette <b>sudo</b>).<br />
<br />
<pre>yum install shorewall</pre><br />
<br />
Lae alla shorewall 4.4.8 versioon käsurealt (vaata endale teine sobiv versioon ([http://slovakia.shorewall.net/pub/shorewall/ Vaata teine versioon])):<br />
<pre>wget http://slovakia.shorewall.net/pub/shorewall/4.4/shorewall-4.4.8/shorewall-4.4.8-2.noarch.rpm </pre><br />
<br />
Installeeri<br />
<pre>N: rpm -ivh <shorewall-4.4.8-2.noarch.rpm></pre><br />
<br />
Edaspdid siis asenda uuema versiooni rpm faili nimega<br />
<pre>rpm -ivh <shorewall rpm paketi nimi></pre><br />
<br />
TAR installeerimine käsurealt<br />
<pre>wget http://slovakia.shorewall.net/pub/shorewall/4.4/shorewall-4.4.8/shorewall-docs-html-4.4.8.tar.bz2</pre><br />
<br />
<pre>tar -jxf shorewall-x.x.x.tar.bz2</pre><br />
<pre>tar -xzf shorewall_versiooninr.tgz</pre><br />
Mine shorewall kausta (cd shorewallkaus) ja käivita käsk<br />
<pre>./install.sh</pre><br />
<br />
Kopeerime näidis konfiguratsioonifailid /etc/shorewall kausta (Debian)<br />
<pre> cp /usr/share/doc/shorewall/default-config/* /etc/shorewall/ </pre><br />
<br />
=Konfigureerimine=<br />
<br />
Shorewalli olulisemad konfiguratsioonifailid on zones, policy, rules ja shorewall.conf.<br />
Antud referaadi koostamisel lähtud kõige levinumast lahendusest, kus on üks <b>välisvõrgu ja sisevõrgu</b> liides.<br><br />
<br />
[http://www.shorewall.net/shorewall_setup_guide.htm Konfigureerimisest]<br />
<br />
<br><b> Zones (tsoonid) konfiguratsioonifail </b><br><br />
<br />
Ühe tsooni piires kehtivad ühensugused tulemüüri reeglid.<br />
Kõigepealt tuleb konfigureerida erinevad võrgu tsoonid. Kirjeldada tuleb tsoonidele nimed.<br />
Näiteks välisvõrk net (interNET) ja sisevõrk loc (LOCal või private).<br />
<br />
<br />
--- konfiguratsioonifaili sisu ---<br />
#ZONE TYPE OPTIONS IN OUT<br />
# OPTIONS OPTIONS<br />
fw firewall<br />
net ipv4<br />
loc ipv4<br />
<br />
<br><b> Interfaces konfiguratsioonifail</b><br><br />
Võrguliideste defineerimine. Siin määrame milline võrguliides vastab tsoonifailis oleva kirjeldusega. <br />
<br />
--- konfiguratsioonifaili sisu ---<br />
#ZONE INTERFACE BROADCAST OPTIONS<br />
net eth1 193.xxx.xxx.xxx routefilter<br />
loc eth0 172.xxx.xxx.255 dhcp,routeback<br />
<br />
Zone - tsoon mis on defineeritud zones failis.<br />
Interfaces - võrguliidese nimi.<br />
<br />
<br><b> Policy konfiguratsioonifail (General plan of action - tegevusplaan)</b><br><br />
<br />
--- konfiguratsioonifaili sisu ---<br />
#SOURCE DEST POLICY LOG LEVEL LIMIT:BURST<br />
loc net ACCEPT<br />
net all DROP info<br />
all all REJECT info<br />
<br />
<b> Rules (reeglid) konfiguratsioonifail </b><br><br />
Kõige tähtsam konfiguratsioonifail. <br />
Reeglite failis määratakse mis on lubatud ja keelatud. Kõikide uute ühenduste loomisel kontrollitakse tulemüüri reegleid.<br />
[http://www.shorewall.net/manpages/shorewall-rules.html Lisainfo reeglite kasutamisest]<br />
<br />
--- konfiguratsioonifaili sisu ---<br />
#ACTION SOURCE DEST PROTO DEST PORT(S)<br />
Web(DNAT) net loc:10.10.10.2 # lubame veebi (port 80) 10.10.10.2 masinasse<br />
ACCEPT dmz net tcp smtp # lubame smtp<br />
<br />
<br />
<b> shorewall.conf </b><br><br />
<br />
[http://www.shorewall.net/manpages/shorewall.conf.html Konfigureerimisest täpsemalt]<br />
<br />
#STARTUP_ENABLED=No<br />
STARTUP_ENABLED=Yes<br />
<br />
#IPTABLES=<br />
IPTABLES=/sbin/iptables<br />
<br />
#IP_FORWARDING=On<br />
IP_FORWARDING=Off<br />
<br />
<br />
Kui tulemüüri reeglid on paigas võiks proovida teenust käivitada teatud perioodiks, vältimaks ligipääsu probleeme ...<br />
<pre> shorewall try /etc/shorewall 120 </pre> <br />
Shorewall käivitatakse 120 sekundiks.<br />
<br />
=Teenus (start/stop/restart/status)=<br />
<br />
<pre> service shorewall start - teenuse käivitamine </pre><br />
<pre> service shorewall stop - teenuse seiskamine </pre><br />
<pre> service shorewall restart - teenuse taaskäivitamine </pre><br />
<pre> service shorewall status - teenuse oleku kuvamine (iptables reeglid, loodud ja loomisel ühendused, ...) </pre><br />
<br />
<br />
=Probleemid=<br />
<br />
Ära installeeri shorewalli kaughaldusena (muidu lõikad näppu ja ei pääse kaugelt süsteemile ligi).<br />
<br />
Kui shorewalli konfiguratsioonifailides on probleem, siis peaks vaatama logifaili<br />
<pre> less /var/log/shorewall-init.log </pre><br />
<br />
Logimine<br />
<br />
shorewall show log - näitab viimast 20 logitud rida<br />
shorewall logwatch - näitab logi teatud intervalliga<br />
shorewall dump - shorewall probleemide tuvastamiseks <br />
<br />
(erinevad võimalused: add, allow, check, clear, help, forget, hits, ipcalc, iprange, refresh, reject, show, try, )<br />
<br />
=Varundamine=<br />
<br />
Varundada on vaja konfiguratsioonifailid (näiteks asuvad konfiguratsioonifailid /etc/shorewall/ kaustas).<br />
<br />
<pre>ls -la /etc/shorewall/ - kuvatakse kausta shorewall sisu</pre> <br />
<br />
<pre>tar -zcp /etc/shorewall > /root/shorewall_reeglite_varu.tar.gz - pakime konfiguratsioonifailid kokku</pre><br />
<pre>cp -r /etc/shorewall > /root/varundamisekaust/shorewall - kopeerime failid varundamise kausta</pre><br />
<br />
=Eemaldamine=<br />
<br />
<b> Debian, Fedora, RedHat, Suse, Centos, Ubuntu, ... </b><br><br />
<pre> apt-get remove -purge shorewall </pre><br />
<pre> yum remove shorewall</pre><br />
<br />
RPM<br><br />
<pre>rpm -e shorewall</pre><br />
<br />
TAR<br><br />
Mine shorewalli kausta (cd /shorewall/kasuta/asukoht) ja käivita käsk<br />
<pre>./uninstall.sh</pre><br />
<br />
=Kokkuvõte=<br />
<br />
Shorewall tarkvara on lihtne paigaldada ja hallata. Paigaldamisel tuleb kasuks kui teate mõningaid teadmisi linuxi valdkonnast (alusta järgnevalt [https://wiki.itcollege.ee/index.php/Category:IT_infrastruktuuri_teenused lingilt]).<br />
<br />
Shorewall projektiga tegeletakse aktiivselt edasi ja soovitan huvilistel olla kursis uudistega, mille leiad järgnevalt [http://www.shorewall.net/News.htm lingilt].<br />
<br />
=Kasutatud kirjandus=<br />
* http://www.shorewall.net/<br />
* http://en.wikipedia.org/wiki/Shorewall<br />
* http://en.wikipedia.org/wiki/Netfilter<br />
* http://www.netfilter.org/<br />
* http://www.frozentux.net/documents/iptables-tutorial/<br />
* http://easyfwgen.morizot.net/gen/ - hea tulemüüri reeglite genereerimiseks<br />
<br />
<br />
[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]</div>Rkolgahttps://wiki.itcollege.ee/index.php?title=Shorewall&diff=6913Shorewall2010-04-17T12:27:29Z<p>Rkolga: /* Eelinfo */</p>
<hr />
<div><br><br />
<b> Autor: </b> Ragnar Kolga - AK32<br />
<br />
=Sissejuhatus=<br />
<br />
<b> Shorewall (alias Shoreline Firewall)</b> on tarkvaraline vahend netfiltri konfigureerimiseks Linuxis (linux - operatsioonisüsteem linux kernelil).<br />
<b>Netfilter</b> koos kasutajaliidesega iptables on paketifilter. Shorewall konfigureerib Netfiltri, kasutades konfiguratsioonifaile ja seda iptables utiliidi vahendusel. Shorewalli on võimalik kasutada tulemüürina väga erinevatel seadmetel (ruuteritel, serveritel, ...).<br />
<br />
Shorewall teeb lihtsamaks tulemüürireeglite manageerimise. Reeglid defineeritakse tekstifailides ja on lihtsasti muudetavad.<br />
Uuele kasutajale selles valdkonnas on kindlasti lihtsamaid tulemüüri reeglite haldamise vahendeid, millel on olemas ka graafiline liides.<br />
<br />
Alates 4.2 versioonist on toetatud ka IPv6.<br />
<br />
Viimane stabiilne versioon on 4.4.7 (04.2010 seisuga).<br />
Shorewalli tarkvara on saadaval ingliskeelsena. Litsents on GPLv2 ja üks arendajatest on Thomas M.Eastep.<br />
<br />
=Eelinfo=<br />
<br />
Oluline oleks veel teada, et <b>netfilter</b> lubab defineerida reegleid, kuidas käsitletakse võrgupakette.<br />
<br />
Netfilter koosneb erinevatest ahelast : <br />
INPUT - sissetulevad paketid <br />
OUTPUT - väljuvad paketid <br />
FORWARD - edastatavad paketid <br />
PREROUTING ja POSTROUTING - põhiliselt NAT tegemiseks (kui ei ole piisavalt avalike ip aadresse siis tuleb kasutada NAT-i). <br />
<br />
Siinkohal tooks veel välja, et <b>iptables</b> on vahend netfilter tabelite konfigureerimiseks (reeglitest koosnevad tabelid).<br />
<br />
Alustuseks tuleks luua üldine võrgu skeem ( [http://docs.huihoo.com/shorewall/2.0/images/basics.png Joonis] [http://docs.huihoo.com/shorewall/2.0/images Veel erinevaid lahendusi]). <br />
<br />
Järgnevalt tooksin välja tegevused shorewalli konfiguratsioonifailidega (abiks edaspidistel tegevustel ja tekib parem ettekujutus toimuvast).<br />
<br />
<b> Fail Tegevus </b><br />
Zones Võrgu jagamine tsoonideks <br />
Hosts, Interfaces Defineeritakse tsoonid tulemüüri liideste ja ip aadressitega <br />
Defineeritakse erinevate tsoonide võrguliikluse piirangud<br />
Policy Tsoonide vaheline ligipääs<br />
Rules Määratakse teenuste kaupa ligipääsu reeglid<br />
Määratakse destination NAT (D-NAT) reeglid<br />
Masq Määratakse Source NAT (S-NAT) reeglid<br />
Shorewall.conf Üldise konfiguratsioonifaili määrangud<br />
... Muud piirangud<br />
<br />
<br />
<br />
PS. Kõik käsud, mis on toodud välja selles wiki's(referaadis) on käivitatud root kasutaja õigustes :-|<br />
<br />
<br />
<b>Abistavad käsud võrguliideste määramiseks konfiguratsioonifailides:</b><br />
<pre>ip route ls - käsu käivitamisel kuvatakse võrguaadressid </pre><br />
<pre>ifconfig -a - käsu käivitamisel kuvatakse võrguliidesed mis on defineeritud </pre><br />
<pre> route -n - käsu käivitamisel kuvatakse ruutingutabel </pre><br />
...<br />
<b>Abistavad käsud reeglite määramiseks konfiguratsioonifailides:</b><br />
<pre>netstat -tnl - selle käsuga väljastatakse info millised on tcp teenused </pre><br />
<pre>netstat -unl - selle käsuga väljastatakse info millised on udp teenused </pre><br />
<pre>netstat -luntp - selle käsuga väljastatakse info teenustest, mis töötavad sinu süsteemis </pre><br />
<pre>grep "teenuse nimi" /etc/services - väljastatakse informatsioon info teenusest ja pordist </pre><br />
Näiteks vaatame mis port on https teenusel.<br />
<br />
<b>Kui teame teenuse nime:</b><br />
[student@student student]$ grep "https" /etc/services <br />
https 443/tcp # MCom<br />
https 443/udp # MCom<br />
<br />
<b>Kui teame teenuse porti:</b><br />
[student@student student]$ grep "443" /etc/services <br />
https 443/tcp # MCom<br />
https 443/udp # MCom<br />
<br />
<br />
<br />
...<br />
<br />
=Installeerimine=<br />
<br />
[http://www.shorewall.net/Install.htm Juhend ]<br />
<br />
Installerimiseks peame logima oma arvutisse, kuhu soovime shorewall tarkvara paigaldada.<br />
Installeerimiskäsud peab käivtama vastavate õigustega kasutaja (võimalik teha sudo -i ja minna root kasutaja õigustesse, või lisada kõikidele käskudele ette <b>sudo</b>).<br />
<br />
<pre>yum install shorewall</pre><br />
<br />
Lae alla shorewall 4.4.8 versioon käsurealt (vaata endale teine sobiv versioon ([http://slovakia.shorewall.net/pub/shorewall/ Vaata teine versioon])):<br />
<pre>wget http://slovakia.shorewall.net/pub/shorewall/4.4/shorewall-4.4.8/shorewall-4.4.8-2.noarch.rpm </pre><br />
<br />
Installeeri<br />
<pre>N: rpm -ivh <shorewall-4.4.8-2.noarch.rpm></pre><br />
<br />
Edaspdid siis asenda uuema versiooni rpm faili nimega<br />
<pre>rpm -ivh <shorewall rpm paketi nimi></pre><br />
<br />
TAR installeerimine käsurealt<br />
<pre>wget http://slovakia.shorewall.net/pub/shorewall/4.4/shorewall-4.4.8/shorewall-docs-html-4.4.8.tar.bz2</pre><br />
<br />
<pre>tar -jxf shorewall-x.x.x.tar.bz2</pre><br />
<pre>tar -xzf shorewall_versiooninr.tgz</pre><br />
Mine shorewall kausta (cd shorewallkaus) ja käivita käsk<br />
<pre>./install.sh</pre><br />
<br />
Kopeerime näidis konfiguratsioonifailid /etc/shorewall kausta (Debian)<br />
<pre> cp /usr/share/doc/shorewall/default-config/* /etc/shorewall/ </pre><br />
<br />
=Konfigureerimine=<br />
<br />
Shorewalli olulisemad konfiguratsioonifailid on zones, policy, rules ja shorewall.conf.<br />
Antud referaadi koostamisel lähtud kõige levinumast lahendusest, kus on üks <b>välisvõrgu ja sisevõrgu</b> liides.<br><br />
<br />
[http://www.shorewall.net/shorewall_setup_guide.htm Konfigureerimisest]<br />
<br />
<br><b> Zones (tsoonid) konfiguratsioonifail </b><br><br />
<br />
Ühe tsooni piires kehtivad ühensugused tulemüüri reeglid.<br />
Kõigepealt tuleb konfigureerida erinevad võrgu tsoonid. Kirjeldada tuleb tsoonidele nimed.<br />
Näiteks välisvõrk net (interNET) ja sisevõrk loc (LOCal või private).<br />
<br />
<br />
--- konfiguratsioonifaili sisu ---<br />
#ZONE TYPE OPTIONS IN OUT<br />
# OPTIONS OPTIONS<br />
fw firewall<br />
net ipv4<br />
loc ipv4<br />
<br />
<br><b> Interfaces konfiguratsioonifail</b><br><br />
Võrguliideste defineerimine. Siin määrame milline võrguliides vastab tsoonifailis oleva kirjeldusega. <br />
<br />
--- konfiguratsioonifaili sisu ---<br />
#ZONE INTERFACE BROADCAST OPTIONS<br />
net eth1 193.xxx.xxx.xxx routefilter<br />
loc eth0 172.xxx.xxx.255 dhcp,routeback<br />
<br />
Zone - tsoon mis on defineeritud zones failis.<br />
Interfaces - võrguliidese nimi.<br />
<br />
<br><b> Policy konfiguratsioonifail (General plan of action - tegevusplaan)</b><br><br />
<br />
--- konfiguratsioonifaili sisu ---<br />
#SOURCE DEST POLICY LOG LEVEL LIMIT:BURST<br />
loc net ACCEPT<br />
net all DROP info<br />
all all REJECT info<br />
<br />
<b> Rules (reeglid) konfiguratsioonifail </b><br><br />
Kõige tähtsam konfiguratsioonifail. <br />
Reeglite failis määratakse mis on lubatud ja keelatud. Kõikide uute ühenduste loomisel kontrollitakse tulemüüri reegleid.<br />
[http://www.shorewall.net/manpages/shorewall-rules.html Lisainfo reeglite kasutamisest]<br />
<br />
--- konfiguratsioonifaili sisu ---<br />
#ACTION SOURCE DEST PROTO DEST PORT(S)<br />
Web(DNAT) net loc:10.10.10.2 # lubame veebi (port 80) 10.10.10.2 masinasse<br />
ACCEPT dmz net tcp smtp # lubame smtp<br />
<br />
<br />
<b> shorewall.conf </b><br><br />
<br />
[http://www.shorewall.net/manpages/shorewall.conf.html Konfigureerimisest täpsemalt]<br />
<br />
#STARTUP_ENABLED=No<br />
STARTUP_ENABLED=Yes<br />
<br />
#IPTABLES=<br />
IPTABLES=/sbin/iptables<br />
<br />
#IP_FORWARDING=On<br />
IP_FORWARDING=Off<br />
<br />
<br />
Kui tulemüüri reeglid on paigas võiks proovida teenust käivitada teatud perioodiks, vältimaks ligipääsu probleeme ...<br />
<pre> shorewall try /etc/shorewall 120 </pre> <br />
Shorewall käivitatakse 120 sekundiks.<br />
<br />
=Teenus (start/stop/restart/status)=<br />
<br />
<pre> service shorewall start - teenuse käivitamine </pre><br />
<pre> service shorewall stop - teenuse seiskamine </pre><br />
<pre> service shorewall restart - teenuse taaskäivitamine </pre><br />
<pre> service shorewall status - teenuse oleku kuvamine (iptables reeglid, loodud ja loomisel ühendused, ...) </pre><br />
<br />
<br />
=Probleemid=<br />
<br />
Ära installeeri shorewalli kaughaldusena (muidu lõikad näppu ja ei pääse kaugelt süsteemile ligi).<br />
<br />
Kui shorewalli konfiguratsioonifailides on probleem, siis peaks vaatama logifaili<br />
<pre> less /var/log/shorewall-init.log </pre><br />
<br />
Logimine<br />
<br />
shorewall show log - näitab viimast 20 logitud rida<br />
shorewall logwatch - näitab logi teatud intervalliga<br />
shorewall dump - shorewall probleemide tuvastamiseks <br />
<br />
(erinevad võimalused: add, allow, check, clear, help, forget, hits, ipcalc, iprange, refresh, reject, show, try, )<br />
<br />
=Varundamine=<br />
<br />
Varundada on vaja konfiguratsioonifailid (näiteks asuvad konfiguratsioonifailid /etc/shorewall/ kaustas).<br />
<br />
<pre>ls -la /etc/shorewall/ - kuvatakse kausta shorewall sisu</pre> <br />
<br />
<pre>tar -zcp /etc/shorewall > /root/shorewall_reeglite_varu.tar.gz - pakime konfiguratsioonifailid kokku</pre><br />
<pre>cp -r /etc/shorewall > /root/varundamisekaust/shorewall - kopeerime failid varundamise kausta</pre><br />
<br />
=Eemaldamine=<br />
<br />
<b> Debian, Fedora, RedHat, Suse, Centos, Ubuntu, ... </b><br><br />
<pre> apt-get remove -purge shorewall </pre><br />
<pre> yum remove shorewall</pre><br />
<br />
RPM<br><br />
<pre>rpm -e shorewall</pre><br />
<br />
TAR<br><br />
Mine shorewalli kausta (cd /shorewall/kasuta/asukoht) ja käivita käsk<br />
<pre>./uninstall.sh</pre><br />
<br />
=Kokkuvõte=<br />
<br />
Shorewall tarkvara on lihtne paigaldada ja hallata. Paigaldamisel tuleb kasuks kui teate mõningaid teadmisi linuxi valdkonnast (alusta järgnevalt [https://wiki.itcollege.ee/index.php/Category:IT_infrastruktuuri_teenused lingilt]).<br />
<br />
Shorewall projektiga tegeletakse aktiivselt edasi ja soovitan huvilistel olla kursis uudistega, mille leiad järgnevalt [http://www.shorewall.net/News.htm lingilt].<br />
<br />
=Kasutatud kirjandus=<br />
* http://www.shorewall.net/<br />
* http://en.wikipedia.org/wiki/Shorewall<br />
* http://en.wikipedia.org/wiki/Netfilter<br />
* http://www.netfilter.org/<br />
* http://www.frozentux.net/documents/iptables-tutorial/<br />
* http://easyfwgen.morizot.net/gen/ - hea tulemüüri reeglite genereerimiseks<br />
<br />
<br />
[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]</div>Rkolgahttps://wiki.itcollege.ee/index.php?title=Shorewall&diff=6912Shorewall2010-04-17T12:26:29Z<p>Rkolga: /* Eelinfo */</p>
<hr />
<div><br><br />
<b> Autor: </b> Ragnar Kolga - AK32<br />
<br />
=Sissejuhatus=<br />
<br />
<b> Shorewall (alias Shoreline Firewall)</b> on tarkvaraline vahend netfiltri konfigureerimiseks Linuxis (linux - operatsioonisüsteem linux kernelil).<br />
<b>Netfilter</b> koos kasutajaliidesega iptables on paketifilter. Shorewall konfigureerib Netfiltri, kasutades konfiguratsioonifaile ja seda iptables utiliidi vahendusel. Shorewalli on võimalik kasutada tulemüürina väga erinevatel seadmetel (ruuteritel, serveritel, ...).<br />
<br />
Shorewall teeb lihtsamaks tulemüürireeglite manageerimise. Reeglid defineeritakse tekstifailides ja on lihtsasti muudetavad.<br />
Uuele kasutajale selles valdkonnas on kindlasti lihtsamaid tulemüüri reeglite haldamise vahendeid, millel on olemas ka graafiline liides.<br />
<br />
Alates 4.2 versioonist on toetatud ka IPv6.<br />
<br />
Viimane stabiilne versioon on 4.4.7 (04.2010 seisuga).<br />
Shorewalli tarkvara on saadaval ingliskeelsena. Litsents on GPLv2 ja üks arendajatest on Thomas M.Eastep.<br />
<br />
=Eelinfo=<br />
<br />
Oluline oleks veel teada, et <b>netfilter</b> lubab defineerida reegleid, kuidas käsitletakse võrgupakette.<br />
<br />
Netfilter koosneb erinevatest ahelast : <br />
INPUT - sissetulevad paketid <br />
OUTPUT - väljuvad paketid <br />
FORWARD - edastatavad paketid <br />
PREROUTING ja POSTROUTING - põhiliselt NAT tegemiseks (kui ei ole piisavalt avalike ip aadresse siis tuleb kasutada NAT-i). <br />
<br />
Siinkohal tooks veel välja, et <b>iptables</b> on vahend netfilter tabelite konfigureerimiseks (reeglitest koosnevad tabelid).<br />
<br />
Alustuseks tuleks luua üldine võrgu skeem ( [http://docs.huihoo.com/shorewall/2.0/images/basics.png Joonis] [http://docs.huihoo.com/shorewall/2.0/images Veel erinevaid lahendusi]). <br />
<br />
Järgnevalt tooksin välja tegevused shorewalli konfiguratsioonifailidega (abiks edaspidistel tegevustel ja tekib parem ettekujutus toimuvast).<br />
<br />
<b> Fail Tegevus </b><br />
Zones Võrgu jagamine tsoonideks <br />
Hosts, Interfaces Defineeritakse tsoonid tulemüüri liideste ja ip aadressitega <br />
Defineeritakse erinevate tsoonide võrguliikluse piirangud<br />
Policy Tsoonide vaheline ligipääs<br />
Rules Määratakse teenuste kaupa ligipääsu reeglid<br />
Määratakse destination NAT (D-NAT) reeglid<br />
Masq Määratakse Source NAT (S-NAT) reeglid<br />
Shorewall.conf Üldise konfiguratsioonifaili määrangud<br />
... Muud piirangud<br />
<br />
<br />
<br />
PS. Kõik käsud, mis on toodud välja selles wiki's(referaadis) on käivitatud root kasutaja õigustes :-|<br />
<br />
<br />
<b>Abistavad käsud võrguliideste määramiseks konfiguratsioonifailides:</b><br />
<pre>ip route ls </pre> - käsu käivitamisel kuvatakse võrguaadressid<br />
<pre>ifconfig -a</pre> - käsu käivitamisel kuvatakse võrguliidesed mis on defineeritud<br />
<pre> route -n</pre> - käsu käivitamisel kuvatakse ruutingutabel<br />
...<br />
<b>Abistavad käsud reeglite määramiseks konfiguratsioonifailides:</b><br />
<pre>netstat -tnl</pre> - selle käsuga väljastatakse info millised on tcp teenused<br />
<pre>netstat -unl</pre> - selle käsuga väljastatakse info millised on udp teenused<br />
<pre>netstat -luntp</pre> - selle käsuga väljastatakse info teenustest, mis töötavad sinu süsteemis<br />
<pre>grep "teenuse nimi" /etc/services</pre> - väljastatakse informatsioon info teenusest ja pordist.<br />
Näiteks vaatame mis port on https teenusel.<br />
<br />
<b>Kui teame teenuse nime:</b><br />
[student@student student]$ grep "https" /etc/services <br />
https 443/tcp # MCom<br />
https 443/udp # MCom<br />
<br />
<b>Kui teame teenuse porti:</b><br />
[student@student student]$ grep "443" /etc/services <br />
https 443/tcp # MCom<br />
https 443/udp # MCom<br />
<br />
<br />
<br />
...<br />
<br />
=Installeerimine=<br />
<br />
[http://www.shorewall.net/Install.htm Juhend ]<br />
<br />
Installerimiseks peame logima oma arvutisse, kuhu soovime shorewall tarkvara paigaldada.<br />
Installeerimiskäsud peab käivtama vastavate õigustega kasutaja (võimalik teha sudo -i ja minna root kasutaja õigustesse, või lisada kõikidele käskudele ette <b>sudo</b>).<br />
<br />
<pre>yum install shorewall</pre><br />
<br />
Lae alla shorewall 4.4.8 versioon käsurealt (vaata endale teine sobiv versioon ([http://slovakia.shorewall.net/pub/shorewall/ Vaata teine versioon])):<br />
<pre>wget http://slovakia.shorewall.net/pub/shorewall/4.4/shorewall-4.4.8/shorewall-4.4.8-2.noarch.rpm </pre><br />
<br />
Installeeri<br />
<pre>N: rpm -ivh <shorewall-4.4.8-2.noarch.rpm></pre><br />
<br />
Edaspdid siis asenda uuema versiooni rpm faili nimega<br />
<pre>rpm -ivh <shorewall rpm paketi nimi></pre><br />
<br />
TAR installeerimine käsurealt<br />
<pre>wget http://slovakia.shorewall.net/pub/shorewall/4.4/shorewall-4.4.8/shorewall-docs-html-4.4.8.tar.bz2</pre><br />
<br />
<pre>tar -jxf shorewall-x.x.x.tar.bz2</pre><br />
<pre>tar -xzf shorewall_versiooninr.tgz</pre><br />
Mine shorewall kausta (cd shorewallkaus) ja käivita käsk<br />
<pre>./install.sh</pre><br />
<br />
Kopeerime näidis konfiguratsioonifailid /etc/shorewall kausta (Debian)<br />
<pre> cp /usr/share/doc/shorewall/default-config/* /etc/shorewall/ </pre><br />
<br />
=Konfigureerimine=<br />
<br />
Shorewalli olulisemad konfiguratsioonifailid on zones, policy, rules ja shorewall.conf.<br />
Antud referaadi koostamisel lähtud kõige levinumast lahendusest, kus on üks <b>välisvõrgu ja sisevõrgu</b> liides.<br><br />
<br />
[http://www.shorewall.net/shorewall_setup_guide.htm Konfigureerimisest]<br />
<br />
<br><b> Zones (tsoonid) konfiguratsioonifail </b><br><br />
<br />
Ühe tsooni piires kehtivad ühensugused tulemüüri reeglid.<br />
Kõigepealt tuleb konfigureerida erinevad võrgu tsoonid. Kirjeldada tuleb tsoonidele nimed.<br />
Näiteks välisvõrk net (interNET) ja sisevõrk loc (LOCal või private).<br />
<br />
<br />
--- konfiguratsioonifaili sisu ---<br />
#ZONE TYPE OPTIONS IN OUT<br />
# OPTIONS OPTIONS<br />
fw firewall<br />
net ipv4<br />
loc ipv4<br />
<br />
<br><b> Interfaces konfiguratsioonifail</b><br><br />
Võrguliideste defineerimine. Siin määrame milline võrguliides vastab tsoonifailis oleva kirjeldusega. <br />
<br />
--- konfiguratsioonifaili sisu ---<br />
#ZONE INTERFACE BROADCAST OPTIONS<br />
net eth1 193.xxx.xxx.xxx routefilter<br />
loc eth0 172.xxx.xxx.255 dhcp,routeback<br />
<br />
Zone - tsoon mis on defineeritud zones failis.<br />
Interfaces - võrguliidese nimi.<br />
<br />
<br><b> Policy konfiguratsioonifail (General plan of action - tegevusplaan)</b><br><br />
<br />
--- konfiguratsioonifaili sisu ---<br />
#SOURCE DEST POLICY LOG LEVEL LIMIT:BURST<br />
loc net ACCEPT<br />
net all DROP info<br />
all all REJECT info<br />
<br />
<b> Rules (reeglid) konfiguratsioonifail </b><br><br />
Kõige tähtsam konfiguratsioonifail. <br />
Reeglite failis määratakse mis on lubatud ja keelatud. Kõikide uute ühenduste loomisel kontrollitakse tulemüüri reegleid.<br />
[http://www.shorewall.net/manpages/shorewall-rules.html Lisainfo reeglite kasutamisest]<br />
<br />
--- konfiguratsioonifaili sisu ---<br />
#ACTION SOURCE DEST PROTO DEST PORT(S)<br />
Web(DNAT) net loc:10.10.10.2 # lubame veebi (port 80) 10.10.10.2 masinasse<br />
ACCEPT dmz net tcp smtp # lubame smtp<br />
<br />
<br />
<b> shorewall.conf </b><br><br />
<br />
[http://www.shorewall.net/manpages/shorewall.conf.html Konfigureerimisest täpsemalt]<br />
<br />
#STARTUP_ENABLED=No<br />
STARTUP_ENABLED=Yes<br />
<br />
#IPTABLES=<br />
IPTABLES=/sbin/iptables<br />
<br />
#IP_FORWARDING=On<br />
IP_FORWARDING=Off<br />
<br />
<br />
Kui tulemüüri reeglid on paigas võiks proovida teenust käivitada teatud perioodiks, vältimaks ligipääsu probleeme ...<br />
<pre> shorewall try /etc/shorewall 120 </pre> <br />
Shorewall käivitatakse 120 sekundiks.<br />
<br />
=Teenus (start/stop/restart/status)=<br />
<br />
<pre> service shorewall start - teenuse käivitamine </pre><br />
<pre> service shorewall stop - teenuse seiskamine </pre><br />
<pre> service shorewall restart - teenuse taaskäivitamine </pre><br />
<pre> service shorewall status - teenuse oleku kuvamine (iptables reeglid, loodud ja loomisel ühendused, ...) </pre><br />
<br />
<br />
=Probleemid=<br />
<br />
Ära installeeri shorewalli kaughaldusena (muidu lõikad näppu ja ei pääse kaugelt süsteemile ligi).<br />
<br />
Kui shorewalli konfiguratsioonifailides on probleem, siis peaks vaatama logifaili<br />
<pre> less /var/log/shorewall-init.log </pre><br />
<br />
Logimine<br />
<br />
shorewall show log - näitab viimast 20 logitud rida<br />
shorewall logwatch - näitab logi teatud intervalliga<br />
shorewall dump - shorewall probleemide tuvastamiseks <br />
<br />
(erinevad võimalused: add, allow, check, clear, help, forget, hits, ipcalc, iprange, refresh, reject, show, try, )<br />
<br />
=Varundamine=<br />
<br />
Varundada on vaja konfiguratsioonifailid (näiteks asuvad konfiguratsioonifailid /etc/shorewall/ kaustas).<br />
<br />
<pre>ls -la /etc/shorewall/ - kuvatakse kausta shorewall sisu</pre> <br />
<br />
<pre>tar -zcp /etc/shorewall > /root/shorewall_reeglite_varu.tar.gz - pakime konfiguratsioonifailid kokku</pre><br />
<pre>cp -r /etc/shorewall > /root/varundamisekaust/shorewall - kopeerime failid varundamise kausta</pre><br />
<br />
=Eemaldamine=<br />
<br />
<b> Debian, Fedora, RedHat, Suse, Centos, Ubuntu, ... </b><br><br />
<pre> apt-get remove -purge shorewall </pre><br />
<pre> yum remove shorewall</pre><br />
<br />
RPM<br><br />
<pre>rpm -e shorewall</pre><br />
<br />
TAR<br><br />
Mine shorewalli kausta (cd /shorewall/kasuta/asukoht) ja käivita käsk<br />
<pre>./uninstall.sh</pre><br />
<br />
=Kokkuvõte=<br />
<br />
Shorewall tarkvara on lihtne paigaldada ja hallata. Paigaldamisel tuleb kasuks kui teate mõningaid teadmisi linuxi valdkonnast (alusta järgnevalt [https://wiki.itcollege.ee/index.php/Category:IT_infrastruktuuri_teenused lingilt]).<br />
<br />
Shorewall projektiga tegeletakse aktiivselt edasi ja soovitan huvilistel olla kursis uudistega, mille leiad järgnevalt [http://www.shorewall.net/News.htm lingilt].<br />
<br />
=Kasutatud kirjandus=<br />
* http://www.shorewall.net/<br />
* http://en.wikipedia.org/wiki/Shorewall<br />
* http://en.wikipedia.org/wiki/Netfilter<br />
* http://www.netfilter.org/<br />
* http://www.frozentux.net/documents/iptables-tutorial/<br />
* http://easyfwgen.morizot.net/gen/ - hea tulemüüri reeglite genereerimiseks<br />
<br />
<br />
[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]</div>Rkolgahttps://wiki.itcollege.ee/index.php?title=Shorewall&diff=6905Shorewall2010-04-17T12:11:11Z<p>Rkolga: /* Eelinfo */</p>
<hr />
<div><br><br />
<b> Autor: </b> Ragnar Kolga - AK32<br />
<br />
=Sissejuhatus=<br />
<br />
<b> Shorewall (alias Shoreline Firewall)</b> on tarkvaraline vahend netfiltri konfigureerimiseks Linuxis (linux - operatsioonisüsteem linux kernelil).<br />
<b>Netfilter</b> koos kasutajaliidesega iptables on paketifilter. Shorewall konfigureerib Netfiltri, kasutades konfiguratsioonifaile ja seda iptables utiliidi vahendusel. Shorewalli on võimalik kasutada tulemüürina väga erinevatel seadmetel (ruuteritel, serveritel, ...).<br />
<br />
Shorewall teeb lihtsamaks tulemüürireeglite manageerimise. Reeglid defineeritakse tekstifailides ja on lihtsasti muudetavad.<br />
Uuele kasutajale selles valdkonnas on kindlasti lihtsamaid tulemüüri reeglite haldamise vahendeid, millel on olemas ka graafiline liides.<br />
<br />
Alates 4.2 versioonist on toetatud ka IPv6.<br />
<br />
Viimane stabiilne versioon on 4.4.7 (04.2010 seisuga).<br />
Shorewalli tarkvara on saadaval ingliskeelsena. Litsents on GPLv2 ja üks arendajatest on Thomas M.Eastep.<br />
<br />
=Eelinfo=<br />
<br />
Oluline oleks veel teada, et <b>netfilter</b> lubab defineerida reegleid, kuidas käsitletakse võrgupakette.<br />
<br />
Netfilter koosneb erinevatest ahelast : <br />
INPUT - sissetulevad paketid <br />
OUTPUT - väljuvad paketid <br />
FORWARD - edastatavad paketid <br />
PREROUTING ja POSTROUTING - põhiliselt NAT tegemiseks (kui ei ole piisavalt avalike ip aadresse siis tuleb kasutada NAT-i). <br />
<br />
Siinkohal tooks veel välja, et <b>iptables</b> on vahend netfilter tabelite konfigureerimiseks (reeglitest koosnevad tabelid).<br />
<br />
Alustuseks tuleks luua üldine võrgu skeem ( [http://docs.huihoo.com/shorewall/2.0/images/basics.png Joonis] [http://docs.huihoo.com/shorewall/2.0/images Veel erinevaid lahendusi]). <br />
<br />
Järgnevalt tooksin välja tegevused shorewalli konfiguratsioonifailidega (abiks edaspidistel tegevustel ja tekib parem ettekujutus toimuvast).<br />
<br />
<b> Fail Tegevus </b><br />
Zones Võrgu jagamine tsoonideks <br />
Hosts, Interfaces Defineeritakse tsoonid tulemüüri liideste ja ip aadressitega <br />
Defineeritakse erinevate tsoonide võrguliikluse piirangud<br />
Policy Tsoonide vaheline ligipääs<br />
Rules Määratakse teenuste kaupa ligipääsu reeglid<br />
Määratakse destination NAT (D-NAT) reeglid<br />
Masq Määratakse Source NAT (S-NAT) reeglid<br />
Shorewall.conf Üldise konfiguratsioonifaili määrangud<br />
... Muud piirangud<br />
<br />
<br />
<br />
PS. Kõik käsud, mis on toodud välja selles wiki's(referaadis) on käivitatud root kasutaja õigustes :-|<br />
<br />
<br />
<b>Abistavad käsud võrguliideste määramiseks konfiguratsioonifailides:</b><br />
<pre>ip route ls </pre> - võrguaadressid<br />
<pre>ifconfig -a</pre> - millised võrguliidesed on sinu arvutis<br />
<pre> route -n</pre> - ruutingutabel<br />
...<br />
<b>Abistavad käsud reeglite määramiseks konfiguratsioonifailides:</b><br />
<pre>netstat -tnl</pre> - selle käsuga väljastatakse info millised on tcp teenused<br />
<pre>netstat -unl</pre> - selle käsuga väljastatakse info millised on udp teenused<br />
<pre>netstat -luntp</pre> - selle käsuga väljastatakse info teenustest, mis töötavad sinu süsteemis<br />
<pre>grep "teenuse nimi" /etc/services</pre> - väljastatakse informatsioon info teenusest ja pordist.<br />
Näiteks vaatame mis port on https teenusel.<br />
<br />
<b>Kui teame teenuse nime:</b><br />
[student@student student]$ grep "https" /etc/services <br />
https 443/tcp # MCom<br />
https 443/udp # MCom<br />
<br />
<b>Kui teame teenuse porti:</b><br />
[student@student student]$ grep "443" /etc/services <br />
https 443/tcp # MCom<br />
https 443/udp # MCom<br />
<br />
<br />
<br />
...<br />
<br />
=Installeerimine=<br />
<br />
[http://www.shorewall.net/Install.htm Juhend ]<br />
<br />
Installerimiseks peame logima oma arvutisse, kuhu soovime shorewall tarkvara paigaldada.<br />
Installeerimiskäsud peab käivtama vastavate õigustega kasutaja (võimalik teha sudo -i ja minna root kasutaja õigustesse, või lisada kõikidele käskudele ette <b>sudo</b>).<br />
<br />
<pre>yum install shorewall</pre><br />
<br />
Lae alla shorewall 4.4.8 versioon käsurealt (vaata endale teine sobiv versioon ([http://slovakia.shorewall.net/pub/shorewall/ Vaata teine versioon])):<br />
<pre>wget http://slovakia.shorewall.net/pub/shorewall/4.4/shorewall-4.4.8/shorewall-4.4.8-2.noarch.rpm </pre><br />
<br />
Installeeri<br />
<pre>N: rpm -ivh <shorewall-4.4.8-2.noarch.rpm></pre><br />
<br />
Edaspdid siis asenda uuema versiooni rpm faili nimega<br />
<pre>rpm -ivh <shorewall rpm paketi nimi></pre><br />
<br />
TAR installeerimine käsurealt<br />
<pre>wget http://slovakia.shorewall.net/pub/shorewall/4.4/shorewall-4.4.8/shorewall-docs-html-4.4.8.tar.bz2</pre><br />
<br />
<pre>tar -jxf shorewall-x.x.x.tar.bz2</pre><br />
<pre>tar -xzf shorewall_versiooninr.tgz</pre><br />
Mine shorewall kausta (cd shorewallkaus) ja käivita käsk<br />
<pre>./install.sh</pre><br />
<br />
Kopeerime näidis konfiguratsioonifailid /etc/shorewall kausta (Debian)<br />
<pre> cp /usr/share/doc/shorewall/default-config/* /etc/shorewall/ </pre><br />
<br />
=Konfigureerimine=<br />
<br />
Shorewalli olulisemad konfiguratsioonifailid on zones, policy, rules ja shorewall.conf.<br />
Antud referaadi koostamisel lähtud kõige levinumast lahendusest, kus on üks <b>välisvõrgu ja sisevõrgu</b> liides.<br><br />
<br />
[http://www.shorewall.net/shorewall_setup_guide.htm Konfigureerimisest]<br />
<br />
<br><b> Zones (tsoonid) konfiguratsioonifail </b><br><br />
<br />
Ühe tsooni piires kehtivad ühensugused tulemüüri reeglid.<br />
Kõigepealt tuleb konfigureerida erinevad võrgu tsoonid. Kirjeldada tuleb tsoonidele nimed.<br />
Näiteks välisvõrk net (interNET) ja sisevõrk loc (LOCal või private).<br />
<br />
<br />
--- konfiguratsioonifaili sisu ---<br />
#ZONE TYPE OPTIONS IN OUT<br />
# OPTIONS OPTIONS<br />
fw firewall<br />
net ipv4<br />
loc ipv4<br />
<br />
<br><b> Interfaces konfiguratsioonifail</b><br><br />
Võrguliideste defineerimine. Siin määrame milline võrguliides vastab tsoonifailis oleva kirjeldusega. <br />
<br />
--- konfiguratsioonifaili sisu ---<br />
#ZONE INTERFACE BROADCAST OPTIONS<br />
net eth1 193.xxx.xxx.xxx routefilter<br />
loc eth0 172.xxx.xxx.255 dhcp,routeback<br />
<br />
Zone - tsoon mis on defineeritud zones failis.<br />
Interfaces - võrguliidese nimi.<br />
<br />
<br><b> Policy konfiguratsioonifail (General plan of action - tegevusplaan)</b><br><br />
<br />
--- konfiguratsioonifaili sisu ---<br />
#SOURCE DEST POLICY LOG LEVEL LIMIT:BURST<br />
loc net ACCEPT<br />
net all DROP info<br />
all all REJECT info<br />
<br />
<b> Rules (reeglid) konfiguratsioonifail </b><br><br />
Kõige tähtsam konfiguratsioonifail. <br />
Reeglite failis määratakse mis on lubatud ja keelatud. Kõikide uute ühenduste loomisel kontrollitakse tulemüüri reegleid.<br />
[http://www.shorewall.net/manpages/shorewall-rules.html Lisainfo reeglite kasutamisest]<br />
<br />
--- konfiguratsioonifaili sisu ---<br />
#ACTION SOURCE DEST PROTO DEST PORT(S)<br />
Web(DNAT) net loc:10.10.10.2 # lubame veebi (port 80) 10.10.10.2 masinasse<br />
ACCEPT dmz net tcp smtp # lubame smtp<br />
<br />
<br />
<b> shorewall.conf </b><br><br />
<br />
[http://www.shorewall.net/manpages/shorewall.conf.html Konfigureerimisest täpsemalt]<br />
<br />
#STARTUP_ENABLED=No<br />
STARTUP_ENABLED=Yes<br />
<br />
#IPTABLES=<br />
IPTABLES=/sbin/iptables<br />
<br />
#IP_FORWARDING=On<br />
IP_FORWARDING=Off<br />
<br />
<br />
Kui tulemüüri reeglid on paigas võiks proovida teenust käivitada teatud perioodiks, vältimaks ligipääsu probleeme ...<br />
<pre> shorewall try /etc/shorewall 120 </pre> <br />
Shorewall käivitatakse 120 sekundiks.<br />
<br />
=Teenus (start/stop/restart/status)=<br />
<br />
<pre> service shorewall start - teenuse käivitamine </pre><br />
<pre> service shorewall stop - teenuse seiskamine </pre><br />
<pre> service shorewall restart - teenuse taaskäivitamine </pre><br />
<pre> service shorewall status - teenuse oleku kuvamine (iptables reeglid, loodud ja loomisel ühendused, ...) </pre><br />
<br />
<br />
=Probleemid=<br />
<br />
Ära installeeri shorewalli kaughaldusena (muidu lõikad näppu ja ei pääse kaugelt süsteemile ligi).<br />
<br />
Kui shorewalli konfiguratsioonifailides on probleem, siis peaks vaatama logifaili<br />
<pre> less /var/log/shorewall-init.log </pre><br />
<br />
Logimine<br />
<br />
shorewall show log - näitab viimast 20 logitud rida<br />
shorewall logwatch - näitab logi teatud intervalliga<br />
shorewall dump - shorewall probleemide tuvastamiseks <br />
<br />
(erinevad võimalused: add, allow, check, clear, help, forget, hits, ipcalc, iprange, refresh, reject, show, try, )<br />
<br />
=Varundamine=<br />
<br />
Varundada on vaja konfiguratsioonifailid (näiteks asuvad konfiguratsioonifailid /etc/shorewall/ kaustas).<br />
<br />
<pre>ls -la /etc/shorewall/ - kuvatakse kausta shorewall sisu</pre> <br />
<br />
<pre>tar -zcp /etc/shorewall > /root/shorewall_reeglite_varu.tar.gz - pakime konfiguratsioonifailid kokku</pre><br />
<pre>cp -r /etc/shorewall > /root/varundamisekaust/shorewall - kopeerime failid varundamise kausta</pre><br />
<br />
=Eemaldamine=<br />
<br />
<b> Debian, Fedora, RedHat, Suse, Centos, Ubuntu, ... </b><br><br />
<pre> apt-get remove -purge shorewall </pre><br />
<pre> yum remove shorewall</pre><br />
<br />
RPM<br><br />
<pre>rpm -e shorewall</pre><br />
<br />
TAR<br><br />
Mine shorewalli kausta (cd /shorewall/kasuta/asukoht) ja käivita käsk<br />
<pre>./uninstall.sh</pre><br />
<br />
=Kokkuvõte=<br />
<br />
Shorewall tarkvara on lihtne paigaldada ja hallata. Paigaldamisel tuleb kasuks kui teate mõningaid teadmisi linuxi valdkonnast (alusta järgnevalt [https://wiki.itcollege.ee/index.php/Category:IT_infrastruktuuri_teenused lingilt]).<br />
<br />
Shorewall projektiga tegeletakse aktiivselt edasi ja soovitan huvilistel olla kursis uudistega, mille leiad järgnevalt [http://www.shorewall.net/News.htm lingilt].<br />
<br />
=Kasutatud kirjandus=<br />
* http://www.shorewall.net/<br />
* http://en.wikipedia.org/wiki/Shorewall<br />
* http://en.wikipedia.org/wiki/Netfilter<br />
* http://www.netfilter.org/<br />
* http://www.frozentux.net/documents/iptables-tutorial/<br />
* http://easyfwgen.morizot.net/gen/ - hea tulemüüri reeglite genereerimiseks<br />
<br />
<br />
[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]</div>Rkolgahttps://wiki.itcollege.ee/index.php?title=Shorewall&diff=6904Shorewall2010-04-17T12:10:56Z<p>Rkolga: /* Eelinfo */</p>
<hr />
<div><br><br />
<b> Autor: </b> Ragnar Kolga - AK32<br />
<br />
=Sissejuhatus=<br />
<br />
<b> Shorewall (alias Shoreline Firewall)</b> on tarkvaraline vahend netfiltri konfigureerimiseks Linuxis (linux - operatsioonisüsteem linux kernelil).<br />
<b>Netfilter</b> koos kasutajaliidesega iptables on paketifilter. Shorewall konfigureerib Netfiltri, kasutades konfiguratsioonifaile ja seda iptables utiliidi vahendusel. Shorewalli on võimalik kasutada tulemüürina väga erinevatel seadmetel (ruuteritel, serveritel, ...).<br />
<br />
Shorewall teeb lihtsamaks tulemüürireeglite manageerimise. Reeglid defineeritakse tekstifailides ja on lihtsasti muudetavad.<br />
Uuele kasutajale selles valdkonnas on kindlasti lihtsamaid tulemüüri reeglite haldamise vahendeid, millel on olemas ka graafiline liides.<br />
<br />
Alates 4.2 versioonist on toetatud ka IPv6.<br />
<br />
Viimane stabiilne versioon on 4.4.7 (04.2010 seisuga).<br />
Shorewalli tarkvara on saadaval ingliskeelsena. Litsents on GPLv2 ja üks arendajatest on Thomas M.Eastep.<br />
<br />
=Eelinfo=<br />
<br />
Oluline oleks veel teada, et <b>netfilter</b> lubab defineerida reegleid, kuidas käsitletakse võrgupakette.<br />
<br />
Netfilter koosneb erinevatest ahelast : <br />
INPUT - sissetulevad paketid <br />
OUTPUT - väljuvad paketid <br />
FORWARD - edastatavad paketid <br />
PREROUTING ja POSTROUTING - põhiliselt NAT tegemiseks (kui ei ole piisavalt avalike ip aadresse siis tuleb kasutada NAT-i). <br />
<br />
Siinkohal tooks veel välja, et <b>iptables</b> on vahend netfilter tabelite konfigureerimiseks (reeglitest koosnevad tabelid).<br />
<br />
Alustuseks tuleks luua üldine võrgu skeem ( [http://docs.huihoo.com/shorewall/2.0/images/basics.png Joonis] [http://docs.huihoo.com/shorewall/2.0/images Veel erinevaid lahendusi]). <br />
<br />
Järgnevalt tooksin välja tegevused shorewalli konfiguratsioonifailidega (abiks edaspidistel tegevustel ja tekib parem ettekujutus toimuvast).<br />
<br />
<b> Fail Tegevus </b><br />
Zones Võrgu jagamine tsoonideks <br />
Hosts, Interfaces Defineeritakse tsoonid tulemüüri liideste ja ip aadressitega <br />
Defineeritakse erinevate tsoonide võrguliikluse piirangud<br />
Policy Tsoonide vaheline ligipääs<br />
Rules Määratakse teenuste kaupa ligipääsu reeglid<br />
Määratakse destination NAT (D-NAT) reeglid<br />
Masq Määratakse Source NAT (S-NAT) reeglid<br />
Shorewall.conf Üldise konfiguratsioonifaili määrangud<br />
... Muud piirangud<br />
<br />
<br />
<br />
PS. Kõik käsud, mis on toodud välja selles wiki's(referaadis) on käivitatud root kasutaja õigustes :-|<br />
<br />
<b>Abistavad käsud võrguliideste määramiseks konfiguratsioonifailides:</b><br />
<pre>ip route ls </pre> - võrguaadressid<br />
<pre>ifconfig -a</pre> - millised võrguliidesed on sinu arvutis<br />
<pre> route -n</pre> - ruutingutabel<br />
...<br />
<b>Abistavad käsud reeglite määramiseks konfiguratsioonifailides:</b><br />
<pre>netstat -tnl</pre> - selle käsuga väljastatakse info millised on tcp teenused<br />
<pre>netstat -unl</pre> - selle käsuga väljastatakse info millised on udp teenused<br />
<pre>netstat -luntp</pre> - selle käsuga väljastatakse info teenustest, mis töötavad sinu süsteemis<br />
<pre>grep "teenuse nimi" /etc/services</pre> - väljastatakse informatsioon info teenusest ja pordist.<br />
Näiteks vaatame mis port on https teenusel.<br />
<br />
<b>Kui teame teenuse nime:</b><br />
[student@student student]$ grep "https" /etc/services <br />
https 443/tcp # MCom<br />
https 443/udp # MCom<br />
<br />
<b>Kui teame teenuse porti:</b><br />
[student@student student]$ grep "443" /etc/services <br />
https 443/tcp # MCom<br />
https 443/udp # MCom<br />
<br />
<br />
<br />
...<br />
<br />
=Installeerimine=<br />
<br />
[http://www.shorewall.net/Install.htm Juhend ]<br />
<br />
Installerimiseks peame logima oma arvutisse, kuhu soovime shorewall tarkvara paigaldada.<br />
Installeerimiskäsud peab käivtama vastavate õigustega kasutaja (võimalik teha sudo -i ja minna root kasutaja õigustesse, või lisada kõikidele käskudele ette <b>sudo</b>).<br />
<br />
<pre>yum install shorewall</pre><br />
<br />
Lae alla shorewall 4.4.8 versioon käsurealt (vaata endale teine sobiv versioon ([http://slovakia.shorewall.net/pub/shorewall/ Vaata teine versioon])):<br />
<pre>wget http://slovakia.shorewall.net/pub/shorewall/4.4/shorewall-4.4.8/shorewall-4.4.8-2.noarch.rpm </pre><br />
<br />
Installeeri<br />
<pre>N: rpm -ivh <shorewall-4.4.8-2.noarch.rpm></pre><br />
<br />
Edaspdid siis asenda uuema versiooni rpm faili nimega<br />
<pre>rpm -ivh <shorewall rpm paketi nimi></pre><br />
<br />
TAR installeerimine käsurealt<br />
<pre>wget http://slovakia.shorewall.net/pub/shorewall/4.4/shorewall-4.4.8/shorewall-docs-html-4.4.8.tar.bz2</pre><br />
<br />
<pre>tar -jxf shorewall-x.x.x.tar.bz2</pre><br />
<pre>tar -xzf shorewall_versiooninr.tgz</pre><br />
Mine shorewall kausta (cd shorewallkaus) ja käivita käsk<br />
<pre>./install.sh</pre><br />
<br />
Kopeerime näidis konfiguratsioonifailid /etc/shorewall kausta (Debian)<br />
<pre> cp /usr/share/doc/shorewall/default-config/* /etc/shorewall/ </pre><br />
<br />
=Konfigureerimine=<br />
<br />
Shorewalli olulisemad konfiguratsioonifailid on zones, policy, rules ja shorewall.conf.<br />
Antud referaadi koostamisel lähtud kõige levinumast lahendusest, kus on üks <b>välisvõrgu ja sisevõrgu</b> liides.<br><br />
<br />
[http://www.shorewall.net/shorewall_setup_guide.htm Konfigureerimisest]<br />
<br />
<br><b> Zones (tsoonid) konfiguratsioonifail </b><br><br />
<br />
Ühe tsooni piires kehtivad ühensugused tulemüüri reeglid.<br />
Kõigepealt tuleb konfigureerida erinevad võrgu tsoonid. Kirjeldada tuleb tsoonidele nimed.<br />
Näiteks välisvõrk net (interNET) ja sisevõrk loc (LOCal või private).<br />
<br />
<br />
--- konfiguratsioonifaili sisu ---<br />
#ZONE TYPE OPTIONS IN OUT<br />
# OPTIONS OPTIONS<br />
fw firewall<br />
net ipv4<br />
loc ipv4<br />
<br />
<br><b> Interfaces konfiguratsioonifail</b><br><br />
Võrguliideste defineerimine. Siin määrame milline võrguliides vastab tsoonifailis oleva kirjeldusega. <br />
<br />
--- konfiguratsioonifaili sisu ---<br />
#ZONE INTERFACE BROADCAST OPTIONS<br />
net eth1 193.xxx.xxx.xxx routefilter<br />
loc eth0 172.xxx.xxx.255 dhcp,routeback<br />
<br />
Zone - tsoon mis on defineeritud zones failis.<br />
Interfaces - võrguliidese nimi.<br />
<br />
<br><b> Policy konfiguratsioonifail (General plan of action - tegevusplaan)</b><br><br />
<br />
--- konfiguratsioonifaili sisu ---<br />
#SOURCE DEST POLICY LOG LEVEL LIMIT:BURST<br />
loc net ACCEPT<br />
net all DROP info<br />
all all REJECT info<br />
<br />
<b> Rules (reeglid) konfiguratsioonifail </b><br><br />
Kõige tähtsam konfiguratsioonifail. <br />
Reeglite failis määratakse mis on lubatud ja keelatud. Kõikide uute ühenduste loomisel kontrollitakse tulemüüri reegleid.<br />
[http://www.shorewall.net/manpages/shorewall-rules.html Lisainfo reeglite kasutamisest]<br />
<br />
--- konfiguratsioonifaili sisu ---<br />
#ACTION SOURCE DEST PROTO DEST PORT(S)<br />
Web(DNAT) net loc:10.10.10.2 # lubame veebi (port 80) 10.10.10.2 masinasse<br />
ACCEPT dmz net tcp smtp # lubame smtp<br />
<br />
<br />
<b> shorewall.conf </b><br><br />
<br />
[http://www.shorewall.net/manpages/shorewall.conf.html Konfigureerimisest täpsemalt]<br />
<br />
#STARTUP_ENABLED=No<br />
STARTUP_ENABLED=Yes<br />
<br />
#IPTABLES=<br />
IPTABLES=/sbin/iptables<br />
<br />
#IP_FORWARDING=On<br />
IP_FORWARDING=Off<br />
<br />
<br />
Kui tulemüüri reeglid on paigas võiks proovida teenust käivitada teatud perioodiks, vältimaks ligipääsu probleeme ...<br />
<pre> shorewall try /etc/shorewall 120 </pre> <br />
Shorewall käivitatakse 120 sekundiks.<br />
<br />
=Teenus (start/stop/restart/status)=<br />
<br />
<pre> service shorewall start - teenuse käivitamine </pre><br />
<pre> service shorewall stop - teenuse seiskamine </pre><br />
<pre> service shorewall restart - teenuse taaskäivitamine </pre><br />
<pre> service shorewall status - teenuse oleku kuvamine (iptables reeglid, loodud ja loomisel ühendused, ...) </pre><br />
<br />
<br />
=Probleemid=<br />
<br />
Ära installeeri shorewalli kaughaldusena (muidu lõikad näppu ja ei pääse kaugelt süsteemile ligi).<br />
<br />
Kui shorewalli konfiguratsioonifailides on probleem, siis peaks vaatama logifaili<br />
<pre> less /var/log/shorewall-init.log </pre><br />
<br />
Logimine<br />
<br />
shorewall show log - näitab viimast 20 logitud rida<br />
shorewall logwatch - näitab logi teatud intervalliga<br />
shorewall dump - shorewall probleemide tuvastamiseks <br />
<br />
(erinevad võimalused: add, allow, check, clear, help, forget, hits, ipcalc, iprange, refresh, reject, show, try, )<br />
<br />
=Varundamine=<br />
<br />
Varundada on vaja konfiguratsioonifailid (näiteks asuvad konfiguratsioonifailid /etc/shorewall/ kaustas).<br />
<br />
<pre>ls -la /etc/shorewall/ - kuvatakse kausta shorewall sisu</pre> <br />
<br />
<pre>tar -zcp /etc/shorewall > /root/shorewall_reeglite_varu.tar.gz - pakime konfiguratsioonifailid kokku</pre><br />
<pre>cp -r /etc/shorewall > /root/varundamisekaust/shorewall - kopeerime failid varundamise kausta</pre><br />
<br />
=Eemaldamine=<br />
<br />
<b> Debian, Fedora, RedHat, Suse, Centos, Ubuntu, ... </b><br><br />
<pre> apt-get remove -purge shorewall </pre><br />
<pre> yum remove shorewall</pre><br />
<br />
RPM<br><br />
<pre>rpm -e shorewall</pre><br />
<br />
TAR<br><br />
Mine shorewalli kausta (cd /shorewall/kasuta/asukoht) ja käivita käsk<br />
<pre>./uninstall.sh</pre><br />
<br />
=Kokkuvõte=<br />
<br />
Shorewall tarkvara on lihtne paigaldada ja hallata. Paigaldamisel tuleb kasuks kui teate mõningaid teadmisi linuxi valdkonnast (alusta järgnevalt [https://wiki.itcollege.ee/index.php/Category:IT_infrastruktuuri_teenused lingilt]).<br />
<br />
Shorewall projektiga tegeletakse aktiivselt edasi ja soovitan huvilistel olla kursis uudistega, mille leiad järgnevalt [http://www.shorewall.net/News.htm lingilt].<br />
<br />
=Kasutatud kirjandus=<br />
* http://www.shorewall.net/<br />
* http://en.wikipedia.org/wiki/Shorewall<br />
* http://en.wikipedia.org/wiki/Netfilter<br />
* http://www.netfilter.org/<br />
* http://www.frozentux.net/documents/iptables-tutorial/<br />
* http://easyfwgen.morizot.net/gen/ - hea tulemüüri reeglite genereerimiseks<br />
<br />
<br />
[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]</div>Rkolgahttps://wiki.itcollege.ee/index.php?title=Shorewall&diff=6903Shorewall2010-04-17T12:08:33Z<p>Rkolga: /* Installeerimine */</p>
<hr />
<div><br><br />
<b> Autor: </b> Ragnar Kolga - AK32<br />
<br />
=Sissejuhatus=<br />
<br />
<b> Shorewall (alias Shoreline Firewall)</b> on tarkvaraline vahend netfiltri konfigureerimiseks Linuxis (linux - operatsioonisüsteem linux kernelil).<br />
<b>Netfilter</b> koos kasutajaliidesega iptables on paketifilter. Shorewall konfigureerib Netfiltri, kasutades konfiguratsioonifaile ja seda iptables utiliidi vahendusel. Shorewalli on võimalik kasutada tulemüürina väga erinevatel seadmetel (ruuteritel, serveritel, ...).<br />
<br />
Shorewall teeb lihtsamaks tulemüürireeglite manageerimise. Reeglid defineeritakse tekstifailides ja on lihtsasti muudetavad.<br />
Uuele kasutajale selles valdkonnas on kindlasti lihtsamaid tulemüüri reeglite haldamise vahendeid, millel on olemas ka graafiline liides.<br />
<br />
Alates 4.2 versioonist on toetatud ka IPv6.<br />
<br />
Viimane stabiilne versioon on 4.4.7 (04.2010 seisuga).<br />
Shorewalli tarkvara on saadaval ingliskeelsena. Litsents on GPLv2 ja üks arendajatest on Thomas M.Eastep.<br />
<br />
=Eelinfo=<br />
<br />
Oluline oleks veel teada, et <b>netfilter</b> lubab defineerida reegleid, kuidas käsitletakse võrgupakette.<br />
<br />
<br />
Netfilter koosneb erinevatest ahelast : <br />
INPUT - sissetulevad paketid <br />
OUTPUT - väljuvad paketid <br />
FORWARD - edastatavad paketid <br />
PREROUTING ja POSTROUTING - põhiliselt NAT tegemiseks (kui ei ole piisavalt avalike ip aadresse siis tuleb kasutada NAT-i). <br />
<br />
Siinkohal tooks veel välja, et <b>iptables</b> on vahend netfilter tabelite konfigureerimiseks (reeglitest koosnevad tabelid).<br />
<br />
Alustuseks tuleks luua üldine võrgu skeem ( [http://docs.huihoo.com/shorewall/2.0/images/basics.png Joonis] [http://docs.huihoo.com/shorewall/2.0/images Veel erinevaid lahendusi]). <br />
<br />
Järgnevalt tooksin välja tegevused shorewalli konfiguratsioonifailidega (abiks edaspidistel tegevustel ja tekib parem ettekujutus toimuvast).<br />
<br />
<b> Fail Tegevus </b><br />
Zones Võrgu jagamine tsoonideks <br />
Hosts, Interfaces Defineeritakse tsoonid tulemüüri liideste ja ip aadressitega <br />
Defineeritakse erinevate tsoonide võrguliikluse piirangud<br />
Policy Tsoonide vaheline ligipääs<br />
Rules Määratakse teenuste kaupa ligipääsu reeglid<br />
Määratakse destination NAT (D-NAT) reeglid<br />
Masq Määratakse Source NAT (S-NAT) reeglid<br />
Shorewall.conf Üldise konfiguratsioonifaili määrangud<br />
... Muud piirangud<br />
<br />
<br />
<b>Abistavad käsud võrguliideste määramiseks konfiguratsioonifailides:</b><br />
<pre>ip route ls </pre> - võrguaadressid<br />
<pre>ifconfig -a</pre> - millised võrguliidesed on sinu arvutis<br />
<pre> route -n</pre> - ruutingutabel<br />
...<br />
<b>Abistavad käsud reeglite määramiseks konfiguratsioonifailides:</b><br />
<pre>netstat -tnl</pre> - selle käsuga väljastatakse info millised on tcp teenused<br />
<pre>netstat -unl</pre> - selle käsuga väljastatakse info millised on udp teenused<br />
<pre>netstat -luntp</pre> - selle käsuga väljastatakse info teenustest, mis töötavad sinu süsteemis<br />
<pre>grep "teenuse nimi" /etc/services</pre> - väljastatakse informatsioon info teenusest ja pordist.<br />
Näiteks vaatame mis port on https teenusel.<br />
<br />
<b>Kui teame teenuse nime:</b><br />
[student@student student]$ grep "https" /etc/services <br />
https 443/tcp # MCom<br />
https 443/udp # MCom<br />
<br />
<b>Kui teame teenuse porti:</b><br />
[student@student student]$ grep "443" /etc/services <br />
https 443/tcp # MCom<br />
https 443/udp # MCom<br />
<br />
<br />
<br />
...<br />
<br />
PS. Kõik käsud on käivitatud root kasutaja õigustes :-|<br />
<br />
=Installeerimine=<br />
<br />
[http://www.shorewall.net/Install.htm Juhend ]<br />
<br />
Installerimiseks peame logima oma arvutisse, kuhu soovime shorewall tarkvara paigaldada.<br />
Installeerimiskäsud peab käivtama vastavate õigustega kasutaja (võimalik teha sudo -i ja minna root kasutaja õigustesse, või lisada kõikidele käskudele ette <b>sudo</b>).<br />
<br />
<pre>yum install shorewall</pre><br />
<br />
Lae alla shorewall 4.4.8 versioon käsurealt (vaata endale teine sobiv versioon ([http://slovakia.shorewall.net/pub/shorewall/ Vaata teine versioon])):<br />
<pre>wget http://slovakia.shorewall.net/pub/shorewall/4.4/shorewall-4.4.8/shorewall-4.4.8-2.noarch.rpm </pre><br />
<br />
Installeeri<br />
<pre>N: rpm -ivh <shorewall-4.4.8-2.noarch.rpm></pre><br />
<br />
Edaspdid siis asenda uuema versiooni rpm faili nimega<br />
<pre>rpm -ivh <shorewall rpm paketi nimi></pre><br />
<br />
TAR installeerimine käsurealt<br />
<pre>wget http://slovakia.shorewall.net/pub/shorewall/4.4/shorewall-4.4.8/shorewall-docs-html-4.4.8.tar.bz2</pre><br />
<br />
<pre>tar -jxf shorewall-x.x.x.tar.bz2</pre><br />
<pre>tar -xzf shorewall_versiooninr.tgz</pre><br />
Mine shorewall kausta (cd shorewallkaus) ja käivita käsk<br />
<pre>./install.sh</pre><br />
<br />
Kopeerime näidis konfiguratsioonifailid /etc/shorewall kausta (Debian)<br />
<pre> cp /usr/share/doc/shorewall/default-config/* /etc/shorewall/ </pre><br />
<br />
=Konfigureerimine=<br />
<br />
Shorewalli olulisemad konfiguratsioonifailid on zones, policy, rules ja shorewall.conf.<br />
Antud referaadi koostamisel lähtud kõige levinumast lahendusest, kus on üks <b>välisvõrgu ja sisevõrgu</b> liides.<br><br />
<br />
[http://www.shorewall.net/shorewall_setup_guide.htm Konfigureerimisest]<br />
<br />
<br><b> Zones (tsoonid) konfiguratsioonifail </b><br><br />
<br />
Ühe tsooni piires kehtivad ühensugused tulemüüri reeglid.<br />
Kõigepealt tuleb konfigureerida erinevad võrgu tsoonid. Kirjeldada tuleb tsoonidele nimed.<br />
Näiteks välisvõrk net (interNET) ja sisevõrk loc (LOCal või private).<br />
<br />
<br />
--- konfiguratsioonifaili sisu ---<br />
#ZONE TYPE OPTIONS IN OUT<br />
# OPTIONS OPTIONS<br />
fw firewall<br />
net ipv4<br />
loc ipv4<br />
<br />
<br><b> Interfaces konfiguratsioonifail</b><br><br />
Võrguliideste defineerimine. Siin määrame milline võrguliides vastab tsoonifailis oleva kirjeldusega. <br />
<br />
--- konfiguratsioonifaili sisu ---<br />
#ZONE INTERFACE BROADCAST OPTIONS<br />
net eth1 193.xxx.xxx.xxx routefilter<br />
loc eth0 172.xxx.xxx.255 dhcp,routeback<br />
<br />
Zone - tsoon mis on defineeritud zones failis.<br />
Interfaces - võrguliidese nimi.<br />
<br />
<br><b> Policy konfiguratsioonifail (General plan of action - tegevusplaan)</b><br><br />
<br />
--- konfiguratsioonifaili sisu ---<br />
#SOURCE DEST POLICY LOG LEVEL LIMIT:BURST<br />
loc net ACCEPT<br />
net all DROP info<br />
all all REJECT info<br />
<br />
<b> Rules (reeglid) konfiguratsioonifail </b><br><br />
Kõige tähtsam konfiguratsioonifail. <br />
Reeglite failis määratakse mis on lubatud ja keelatud. Kõikide uute ühenduste loomisel kontrollitakse tulemüüri reegleid.<br />
[http://www.shorewall.net/manpages/shorewall-rules.html Lisainfo reeglite kasutamisest]<br />
<br />
--- konfiguratsioonifaili sisu ---<br />
#ACTION SOURCE DEST PROTO DEST PORT(S)<br />
Web(DNAT) net loc:10.10.10.2 # lubame veebi (port 80) 10.10.10.2 masinasse<br />
ACCEPT dmz net tcp smtp # lubame smtp<br />
<br />
<br />
<b> shorewall.conf </b><br><br />
<br />
[http://www.shorewall.net/manpages/shorewall.conf.html Konfigureerimisest täpsemalt]<br />
<br />
#STARTUP_ENABLED=No<br />
STARTUP_ENABLED=Yes<br />
<br />
#IPTABLES=<br />
IPTABLES=/sbin/iptables<br />
<br />
#IP_FORWARDING=On<br />
IP_FORWARDING=Off<br />
<br />
<br />
Kui tulemüüri reeglid on paigas võiks proovida teenust käivitada teatud perioodiks, vältimaks ligipääsu probleeme ...<br />
<pre> shorewall try /etc/shorewall 120 </pre> <br />
Shorewall käivitatakse 120 sekundiks.<br />
<br />
=Teenus (start/stop/restart/status)=<br />
<br />
<pre> service shorewall start - teenuse käivitamine </pre><br />
<pre> service shorewall stop - teenuse seiskamine </pre><br />
<pre> service shorewall restart - teenuse taaskäivitamine </pre><br />
<pre> service shorewall status - teenuse oleku kuvamine (iptables reeglid, loodud ja loomisel ühendused, ...) </pre><br />
<br />
<br />
=Probleemid=<br />
<br />
Ära installeeri shorewalli kaughaldusena (muidu lõikad näppu ja ei pääse kaugelt süsteemile ligi).<br />
<br />
Kui shorewalli konfiguratsioonifailides on probleem, siis peaks vaatama logifaili<br />
<pre> less /var/log/shorewall-init.log </pre><br />
<br />
Logimine<br />
<br />
shorewall show log - näitab viimast 20 logitud rida<br />
shorewall logwatch - näitab logi teatud intervalliga<br />
shorewall dump - shorewall probleemide tuvastamiseks <br />
<br />
(erinevad võimalused: add, allow, check, clear, help, forget, hits, ipcalc, iprange, refresh, reject, show, try, )<br />
<br />
=Varundamine=<br />
<br />
Varundada on vaja konfiguratsioonifailid (näiteks asuvad konfiguratsioonifailid /etc/shorewall/ kaustas).<br />
<br />
<pre>ls -la /etc/shorewall/ - kuvatakse kausta shorewall sisu</pre> <br />
<br />
<pre>tar -zcp /etc/shorewall > /root/shorewall_reeglite_varu.tar.gz - pakime konfiguratsioonifailid kokku</pre><br />
<pre>cp -r /etc/shorewall > /root/varundamisekaust/shorewall - kopeerime failid varundamise kausta</pre><br />
<br />
=Eemaldamine=<br />
<br />
<b> Debian, Fedora, RedHat, Suse, Centos, Ubuntu, ... </b><br><br />
<pre> apt-get remove -purge shorewall </pre><br />
<pre> yum remove shorewall</pre><br />
<br />
RPM<br><br />
<pre>rpm -e shorewall</pre><br />
<br />
TAR<br><br />
Mine shorewalli kausta (cd /shorewall/kasuta/asukoht) ja käivita käsk<br />
<pre>./uninstall.sh</pre><br />
<br />
=Kokkuvõte=<br />
<br />
Shorewall tarkvara on lihtne paigaldada ja hallata. Paigaldamisel tuleb kasuks kui teate mõningaid teadmisi linuxi valdkonnast (alusta järgnevalt [https://wiki.itcollege.ee/index.php/Category:IT_infrastruktuuri_teenused lingilt]).<br />
<br />
Shorewall projektiga tegeletakse aktiivselt edasi ja soovitan huvilistel olla kursis uudistega, mille leiad järgnevalt [http://www.shorewall.net/News.htm lingilt].<br />
<br />
=Kasutatud kirjandus=<br />
* http://www.shorewall.net/<br />
* http://en.wikipedia.org/wiki/Shorewall<br />
* http://en.wikipedia.org/wiki/Netfilter<br />
* http://www.netfilter.org/<br />
* http://www.frozentux.net/documents/iptables-tutorial/<br />
* http://easyfwgen.morizot.net/gen/ - hea tulemüüri reeglite genereerimiseks<br />
<br />
<br />
[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]</div>Rkolgahttps://wiki.itcollege.ee/index.php?title=Shorewall&diff=6901Shorewall2010-04-17T12:05:48Z<p>Rkolga: /* Eelinfo */</p>
<hr />
<div><br><br />
<b> Autor: </b> Ragnar Kolga - AK32<br />
<br />
=Sissejuhatus=<br />
<br />
<b> Shorewall (alias Shoreline Firewall)</b> on tarkvaraline vahend netfiltri konfigureerimiseks Linuxis (linux - operatsioonisüsteem linux kernelil).<br />
<b>Netfilter</b> koos kasutajaliidesega iptables on paketifilter. Shorewall konfigureerib Netfiltri, kasutades konfiguratsioonifaile ja seda iptables utiliidi vahendusel. Shorewalli on võimalik kasutada tulemüürina väga erinevatel seadmetel (ruuteritel, serveritel, ...).<br />
<br />
Shorewall teeb lihtsamaks tulemüürireeglite manageerimise. Reeglid defineeritakse tekstifailides ja on lihtsasti muudetavad.<br />
Uuele kasutajale selles valdkonnas on kindlasti lihtsamaid tulemüüri reeglite haldamise vahendeid, millel on olemas ka graafiline liides.<br />
<br />
Alates 4.2 versioonist on toetatud ka IPv6.<br />
<br />
Viimane stabiilne versioon on 4.4.7 (04.2010 seisuga).<br />
Shorewalli tarkvara on saadaval ingliskeelsena. Litsents on GPLv2 ja üks arendajatest on Thomas M.Eastep.<br />
<br />
=Eelinfo=<br />
<br />
Oluline oleks veel teada, et <b>netfilter</b> lubab defineerida reegleid, kuidas käsitletakse võrgupakette.<br />
<br />
<br />
Netfilter koosneb erinevatest ahelast : <br />
INPUT - sissetulevad paketid <br />
OUTPUT - väljuvad paketid <br />
FORWARD - edastatavad paketid <br />
PREROUTING ja POSTROUTING - põhiliselt NAT tegemiseks (kui ei ole piisavalt avalike ip aadresse siis tuleb kasutada NAT-i). <br />
<br />
Siinkohal tooks veel välja, et <b>iptables</b> on vahend netfilter tabelite konfigureerimiseks (reeglitest koosnevad tabelid).<br />
<br />
Alustuseks tuleks luua üldine võrgu skeem ( [http://docs.huihoo.com/shorewall/2.0/images/basics.png Joonis] [http://docs.huihoo.com/shorewall/2.0/images Veel erinevaid lahendusi]). <br />
<br />
Järgnevalt tooksin välja tegevused shorewalli konfiguratsioonifailidega (abiks edaspidistel tegevustel ja tekib parem ettekujutus toimuvast).<br />
<br />
<b> Fail Tegevus </b><br />
Zones Võrgu jagamine tsoonideks <br />
Hosts, Interfaces Defineeritakse tsoonid tulemüüri liideste ja ip aadressitega <br />
Defineeritakse erinevate tsoonide võrguliikluse piirangud<br />
Policy Tsoonide vaheline ligipääs<br />
Rules Määratakse teenuste kaupa ligipääsu reeglid<br />
Määratakse destination NAT (D-NAT) reeglid<br />
Masq Määratakse Source NAT (S-NAT) reeglid<br />
Shorewall.conf Üldise konfiguratsioonifaili määrangud<br />
... Muud piirangud<br />
<br />
<br />
<b>Abistavad käsud võrguliideste määramiseks konfiguratsioonifailides:</b><br />
<pre>ip route ls </pre> - võrguaadressid<br />
<pre>ifconfig -a</pre> - millised võrguliidesed on sinu arvutis<br />
<pre> route -n</pre> - ruutingutabel<br />
...<br />
<b>Abistavad käsud reeglite määramiseks konfiguratsioonifailides:</b><br />
<pre>netstat -tnl</pre> - selle käsuga väljastatakse info millised on tcp teenused<br />
<pre>netstat -unl</pre> - selle käsuga väljastatakse info millised on udp teenused<br />
<pre>netstat -luntp</pre> - selle käsuga väljastatakse info teenustest, mis töötavad sinu süsteemis<br />
<pre>grep "teenuse nimi" /etc/services</pre> - väljastatakse informatsioon info teenusest ja pordist.<br />
Näiteks vaatame mis port on https teenusel.<br />
<br />
<b>Kui teame teenuse nime:</b><br />
[student@student student]$ grep "https" /etc/services <br />
https 443/tcp # MCom<br />
https 443/udp # MCom<br />
<br />
<b>Kui teame teenuse porti:</b><br />
[student@student student]$ grep "443" /etc/services <br />
https 443/tcp # MCom<br />
https 443/udp # MCom<br />
<br />
<br />
<br />
...<br />
<br />
PS. Kõik käsud on käivitatud root kasutaja õigustes :-|<br />
<br />
=Installeerimine=<br />
<br />
[http://www.shorewall.net/Install.htm Juhend ]<br />
<br />
<pre>yum install shorewall</pre><br />
<br />
Lae alla shorewall 4.4.8 versioon käsurealt (vaata endale teine sobiv versioon ([http://slovakia.shorewall.net/pub/shorewall/ Vaata teine versioon])):<br />
<pre>wget http://slovakia.shorewall.net/pub/shorewall/4.4/shorewall-4.4.8/shorewall-4.4.8-2.noarch.rpm </pre><br />
<br />
Installeeri<br />
<pre>N: rpm -ivh <shorewall-4.4.8-2.noarch.rpm></pre><br />
<br />
Edaspdid siis asenda uuema versiooni rpm faili nimega<br />
<pre>rpm -ivh <shorewall rpm paketi nimi></pre><br />
<br />
TAR installeerimine käsurealt<br />
<pre>wget http://slovakia.shorewall.net/pub/shorewall/4.4/shorewall-4.4.8/shorewall-docs-html-4.4.8.tar.bz2</pre><br />
<br />
<pre>tar -jxf shorewall-x.x.x.tar.bz2</pre><br />
<pre>tar -xzf shorewall_versiooninr.tgz</pre><br />
Mine shorewall kausta (cd shorewallkaus) ja käivita käsk<br />
<pre>./install.sh</pre><br />
<br />
Kopeerime näidis konfiguratsioonifailid /etc/shorewall kausta (Debian)<br />
<pre> cp /usr/share/doc/shorewall/default-config/* /etc/shorewall/ </pre><br />
<br />
=Konfigureerimine=<br />
<br />
Shorewalli olulisemad konfiguratsioonifailid on zones, policy, rules ja shorewall.conf.<br />
Antud referaadi koostamisel lähtud kõige levinumast lahendusest, kus on üks <b>välisvõrgu ja sisevõrgu</b> liides.<br><br />
<br />
[http://www.shorewall.net/shorewall_setup_guide.htm Konfigureerimisest]<br />
<br />
<br><b> Zones (tsoonid) konfiguratsioonifail </b><br><br />
<br />
Ühe tsooni piires kehtivad ühensugused tulemüüri reeglid.<br />
Kõigepealt tuleb konfigureerida erinevad võrgu tsoonid. Kirjeldada tuleb tsoonidele nimed.<br />
Näiteks välisvõrk net (interNET) ja sisevõrk loc (LOCal või private).<br />
<br />
<br />
--- konfiguratsioonifaili sisu ---<br />
#ZONE TYPE OPTIONS IN OUT<br />
# OPTIONS OPTIONS<br />
fw firewall<br />
net ipv4<br />
loc ipv4<br />
<br />
<br><b> Interfaces konfiguratsioonifail</b><br><br />
Võrguliideste defineerimine. Siin määrame milline võrguliides vastab tsoonifailis oleva kirjeldusega. <br />
<br />
--- konfiguratsioonifaili sisu ---<br />
#ZONE INTERFACE BROADCAST OPTIONS<br />
net eth1 193.xxx.xxx.xxx routefilter<br />
loc eth0 172.xxx.xxx.255 dhcp,routeback<br />
<br />
Zone - tsoon mis on defineeritud zones failis.<br />
Interfaces - võrguliidese nimi.<br />
<br />
<br><b> Policy konfiguratsioonifail (General plan of action - tegevusplaan)</b><br><br />
<br />
--- konfiguratsioonifaili sisu ---<br />
#SOURCE DEST POLICY LOG LEVEL LIMIT:BURST<br />
loc net ACCEPT<br />
net all DROP info<br />
all all REJECT info<br />
<br />
<b> Rules (reeglid) konfiguratsioonifail </b><br><br />
Kõige tähtsam konfiguratsioonifail. <br />
Reeglite failis määratakse mis on lubatud ja keelatud. Kõikide uute ühenduste loomisel kontrollitakse tulemüüri reegleid.<br />
[http://www.shorewall.net/manpages/shorewall-rules.html Lisainfo reeglite kasutamisest]<br />
<br />
--- konfiguratsioonifaili sisu ---<br />
#ACTION SOURCE DEST PROTO DEST PORT(S)<br />
Web(DNAT) net loc:10.10.10.2 # lubame veebi (port 80) 10.10.10.2 masinasse<br />
ACCEPT dmz net tcp smtp # lubame smtp<br />
<br />
<br />
<b> shorewall.conf </b><br><br />
<br />
[http://www.shorewall.net/manpages/shorewall.conf.html Konfigureerimisest täpsemalt]<br />
<br />
#STARTUP_ENABLED=No<br />
STARTUP_ENABLED=Yes<br />
<br />
#IPTABLES=<br />
IPTABLES=/sbin/iptables<br />
<br />
#IP_FORWARDING=On<br />
IP_FORWARDING=Off<br />
<br />
<br />
Kui tulemüüri reeglid on paigas võiks proovida teenust käivitada teatud perioodiks, vältimaks ligipääsu probleeme ...<br />
<pre> shorewall try /etc/shorewall 120 </pre> <br />
Shorewall käivitatakse 120 sekundiks.<br />
<br />
=Teenus (start/stop/restart/status)=<br />
<br />
<pre> service shorewall start - teenuse käivitamine </pre><br />
<pre> service shorewall stop - teenuse seiskamine </pre><br />
<pre> service shorewall restart - teenuse taaskäivitamine </pre><br />
<pre> service shorewall status - teenuse oleku kuvamine (iptables reeglid, loodud ja loomisel ühendused, ...) </pre><br />
<br />
<br />
=Probleemid=<br />
<br />
Ära installeeri shorewalli kaughaldusena (muidu lõikad näppu ja ei pääse kaugelt süsteemile ligi).<br />
<br />
Kui shorewalli konfiguratsioonifailides on probleem, siis peaks vaatama logifaili<br />
<pre> less /var/log/shorewall-init.log </pre><br />
<br />
Logimine<br />
<br />
shorewall show log - näitab viimast 20 logitud rida<br />
shorewall logwatch - näitab logi teatud intervalliga<br />
shorewall dump - shorewall probleemide tuvastamiseks <br />
<br />
(erinevad võimalused: add, allow, check, clear, help, forget, hits, ipcalc, iprange, refresh, reject, show, try, )<br />
<br />
=Varundamine=<br />
<br />
Varundada on vaja konfiguratsioonifailid (näiteks asuvad konfiguratsioonifailid /etc/shorewall/ kaustas).<br />
<br />
<pre>ls -la /etc/shorewall/ - kuvatakse kausta shorewall sisu</pre> <br />
<br />
<pre>tar -zcp /etc/shorewall > /root/shorewall_reeglite_varu.tar.gz - pakime konfiguratsioonifailid kokku</pre><br />
<pre>cp -r /etc/shorewall > /root/varundamisekaust/shorewall - kopeerime failid varundamise kausta</pre><br />
<br />
=Eemaldamine=<br />
<br />
<b> Debian, Fedora, RedHat, Suse, Centos, Ubuntu, ... </b><br><br />
<pre> apt-get remove -purge shorewall </pre><br />
<pre> yum remove shorewall</pre><br />
<br />
RPM<br><br />
<pre>rpm -e shorewall</pre><br />
<br />
TAR<br><br />
Mine shorewalli kausta (cd /shorewall/kasuta/asukoht) ja käivita käsk<br />
<pre>./uninstall.sh</pre><br />
<br />
=Kokkuvõte=<br />
<br />
Shorewall tarkvara on lihtne paigaldada ja hallata. Paigaldamisel tuleb kasuks kui teate mõningaid teadmisi linuxi valdkonnast (alusta järgnevalt [https://wiki.itcollege.ee/index.php/Category:IT_infrastruktuuri_teenused lingilt]).<br />
<br />
Shorewall projektiga tegeletakse aktiivselt edasi ja soovitan huvilistel olla kursis uudistega, mille leiad järgnevalt [http://www.shorewall.net/News.htm lingilt].<br />
<br />
=Kasutatud kirjandus=<br />
* http://www.shorewall.net/<br />
* http://en.wikipedia.org/wiki/Shorewall<br />
* http://en.wikipedia.org/wiki/Netfilter<br />
* http://www.netfilter.org/<br />
* http://www.frozentux.net/documents/iptables-tutorial/<br />
* http://easyfwgen.morizot.net/gen/ - hea tulemüüri reeglite genereerimiseks<br />
<br />
<br />
[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]</div>Rkolgahttps://wiki.itcollege.ee/index.php?title=Shorewall&diff=6900Shorewall2010-04-17T12:05:23Z<p>Rkolga: /* Eelinfo */</p>
<hr />
<div><br><br />
<b> Autor: </b> Ragnar Kolga - AK32<br />
<br />
=Sissejuhatus=<br />
<br />
<b> Shorewall (alias Shoreline Firewall)</b> on tarkvaraline vahend netfiltri konfigureerimiseks Linuxis (linux - operatsioonisüsteem linux kernelil).<br />
<b>Netfilter</b> koos kasutajaliidesega iptables on paketifilter. Shorewall konfigureerib Netfiltri, kasutades konfiguratsioonifaile ja seda iptables utiliidi vahendusel. Shorewalli on võimalik kasutada tulemüürina väga erinevatel seadmetel (ruuteritel, serveritel, ...).<br />
<br />
Shorewall teeb lihtsamaks tulemüürireeglite manageerimise. Reeglid defineeritakse tekstifailides ja on lihtsasti muudetavad.<br />
Uuele kasutajale selles valdkonnas on kindlasti lihtsamaid tulemüüri reeglite haldamise vahendeid, millel on olemas ka graafiline liides.<br />
<br />
Alates 4.2 versioonist on toetatud ka IPv6.<br />
<br />
Viimane stabiilne versioon on 4.4.7 (04.2010 seisuga).<br />
Shorewalli tarkvara on saadaval ingliskeelsena. Litsents on GPLv2 ja üks arendajatest on Thomas M.Eastep.<br />
<br />
=Eelinfo=<br />
<br />
Oluline oleks veel teada, et <b>netfilter</b> lubab defineerida reegleid, kuidas käsitletakse võrgupakette.<br />
<br />
<br />
Netfilter koosneb erinevatest ahelast : <br />
INPUT - sissetulevad paketid <br />
OUTPUT - väljuvad paketid <br />
FORWARD - edastatavad paketid <br />
PREROUTING ja POSTROUTING - põhiliselt NAT tegemiseks (kui ei ole piisavalt avalike ip aadresse siis tuleb kasutada NAT-i). <br />
<br />
Siinkohal tooks veel välja, et <b>iptables</b> on vahend netfilter tabelite konfigureerimiseks (reeglitest koosnevad tabelid).<br />
<br />
Alustuseks tuleks luua üldine võrgu skeem ( [http://docs.huihoo.com/shorewall/2.0/images/basics.png Joonis] [http://docs.huihoo.com/shorewall/2.0/images Veel erinevaid lahendusi]). <br />
<br />
Järgnevalt tooksin välja tegevused shorewalli konfiguratsioonifailidega (abiks edaspidistel tegevustel ja tekib parem ettekujutus toimuvast).<br />
<br />
<b> Fail Tegevus </b><br />
Zones Võrgu jagamine tsoonideks <br />
Hosts, Interfaces Defineeritakse tsoonid tulemüüri liideste ja ip aadressitega <br />
Defineeritakse erinevate tsoonide võrguliikluse piirangud<br />
Policy Tsoonide vaheline ligipääs<br />
Rules Määratakse teenuste kaupa ligipääsu reeglid<br />
Määratakse destination NAT (D-NAT) reeglid<br />
Masq Määratakse Source NAT (S-NAT) reeglid<br />
Shorewall.conf Üldise konfiguratsioonifaili määrangud<br />
... Muud piirangud<br />
<br />
<br />
<b>Abistavad käsud võrguliideste määramiseks konfiguratsioonifailides:</b><br />
<pre>ip route ls </pre> - võrguaadressid<br />
<pre>ifconfig -a</pre> - millised võrguliidesed on sinu arvutis<br />
<pre> route -n</pre> - ruutingutabel<br />
...<br />
<b>Abistavad käsud reeglite määramiseks konfiguratsioonifailides:</b><br />
<pre>netstat -tnl</pre> - selle käsuga väljastatakse info millised on tcp teenused<br />
<pre>netstat -unl</pre> - selle käsuga väljastatakse info millised on udp teenused<br />
<pre>netstat -luntp</pre> - selle käsuga väljastatakse info teenustest, mis töötavad sinu süsteemis<br />
<pre>grep "teenuse nimi" /etc/services</pre> - väljastatakse informatsioon info teenusest ja pordist.<br />
Näiteks vaatame mis port on https teenusel.<br />
<br />
<b>Kui teame teenuse nime:</b><br />
[student@student student]$ grep "https" /etc/services <br />
https 443/tcp # MCom<br />
https 443/udp # MCom<br />
<br />
<b>Kui teame teenuse porti:</b><br />
[student@student student]$ grep "443" /etc/services <br />
https 443/tcp # MCom<br />
https 443/udp # MCom<br />
<br />
<br />
<br />
...<br />
<br />
PS. Kõik käsud on käivitatud root kasutaja õigustes :-|<br />
<br />
=Installeerimine=<br />
<br />
[http://www.shorewall.net/Install.htm Juhend ]<br />
<br />
<pre>yum install shorewall</pre><br />
<br />
Lae alla shorewall 4.4.8 versioon käsurealt (vaata endale teine sobiv versioon ([http://slovakia.shorewall.net/pub/shorewall/ Vaata teine versioon])):<br />
<pre>wget http://slovakia.shorewall.net/pub/shorewall/4.4/shorewall-4.4.8/shorewall-4.4.8-2.noarch.rpm </pre><br />
<br />
Installeeri<br />
<pre>N: rpm -ivh <shorewall-4.4.8-2.noarch.rpm></pre><br />
<br />
Edaspdid siis asenda uuema versiooni rpm faili nimega<br />
<pre>rpm -ivh <shorewall rpm paketi nimi></pre><br />
<br />
TAR installeerimine käsurealt<br />
<pre>wget http://slovakia.shorewall.net/pub/shorewall/4.4/shorewall-4.4.8/shorewall-docs-html-4.4.8.tar.bz2</pre><br />
<br />
<pre>tar -jxf shorewall-x.x.x.tar.bz2</pre><br />
<pre>tar -xzf shorewall_versiooninr.tgz</pre><br />
Mine shorewall kausta (cd shorewallkaus) ja käivita käsk<br />
<pre>./install.sh</pre><br />
<br />
Kopeerime näidis konfiguratsioonifailid /etc/shorewall kausta (Debian)<br />
<pre> cp /usr/share/doc/shorewall/default-config/* /etc/shorewall/ </pre><br />
<br />
=Konfigureerimine=<br />
<br />
Shorewalli olulisemad konfiguratsioonifailid on zones, policy, rules ja shorewall.conf.<br />
Antud referaadi koostamisel lähtud kõige levinumast lahendusest, kus on üks <b>välisvõrgu ja sisevõrgu</b> liides.<br><br />
<br />
[http://www.shorewall.net/shorewall_setup_guide.htm Konfigureerimisest]<br />
<br />
<br><b> Zones (tsoonid) konfiguratsioonifail </b><br><br />
<br />
Ühe tsooni piires kehtivad ühensugused tulemüüri reeglid.<br />
Kõigepealt tuleb konfigureerida erinevad võrgu tsoonid. Kirjeldada tuleb tsoonidele nimed.<br />
Näiteks välisvõrk net (interNET) ja sisevõrk loc (LOCal või private).<br />
<br />
<br />
--- konfiguratsioonifaili sisu ---<br />
#ZONE TYPE OPTIONS IN OUT<br />
# OPTIONS OPTIONS<br />
fw firewall<br />
net ipv4<br />
loc ipv4<br />
<br />
<br><b> Interfaces konfiguratsioonifail</b><br><br />
Võrguliideste defineerimine. Siin määrame milline võrguliides vastab tsoonifailis oleva kirjeldusega. <br />
<br />
--- konfiguratsioonifaili sisu ---<br />
#ZONE INTERFACE BROADCAST OPTIONS<br />
net eth1 193.xxx.xxx.xxx routefilter<br />
loc eth0 172.xxx.xxx.255 dhcp,routeback<br />
<br />
Zone - tsoon mis on defineeritud zones failis.<br />
Interfaces - võrguliidese nimi.<br />
<br />
<br><b> Policy konfiguratsioonifail (General plan of action - tegevusplaan)</b><br><br />
<br />
--- konfiguratsioonifaili sisu ---<br />
#SOURCE DEST POLICY LOG LEVEL LIMIT:BURST<br />
loc net ACCEPT<br />
net all DROP info<br />
all all REJECT info<br />
<br />
<b> Rules (reeglid) konfiguratsioonifail </b><br><br />
Kõige tähtsam konfiguratsioonifail. <br />
Reeglite failis määratakse mis on lubatud ja keelatud. Kõikide uute ühenduste loomisel kontrollitakse tulemüüri reegleid.<br />
[http://www.shorewall.net/manpages/shorewall-rules.html Lisainfo reeglite kasutamisest]<br />
<br />
--- konfiguratsioonifaili sisu ---<br />
#ACTION SOURCE DEST PROTO DEST PORT(S)<br />
Web(DNAT) net loc:10.10.10.2 # lubame veebi (port 80) 10.10.10.2 masinasse<br />
ACCEPT dmz net tcp smtp # lubame smtp<br />
<br />
<br />
<b> shorewall.conf </b><br><br />
<br />
[http://www.shorewall.net/manpages/shorewall.conf.html Konfigureerimisest täpsemalt]<br />
<br />
#STARTUP_ENABLED=No<br />
STARTUP_ENABLED=Yes<br />
<br />
#IPTABLES=<br />
IPTABLES=/sbin/iptables<br />
<br />
#IP_FORWARDING=On<br />
IP_FORWARDING=Off<br />
<br />
<br />
Kui tulemüüri reeglid on paigas võiks proovida teenust käivitada teatud perioodiks, vältimaks ligipääsu probleeme ...<br />
<pre> shorewall try /etc/shorewall 120 </pre> <br />
Shorewall käivitatakse 120 sekundiks.<br />
<br />
=Teenus (start/stop/restart/status)=<br />
<br />
<pre> service shorewall start - teenuse käivitamine </pre><br />
<pre> service shorewall stop - teenuse seiskamine </pre><br />
<pre> service shorewall restart - teenuse taaskäivitamine </pre><br />
<pre> service shorewall status - teenuse oleku kuvamine (iptables reeglid, loodud ja loomisel ühendused, ...) </pre><br />
<br />
<br />
=Probleemid=<br />
<br />
Ära installeeri shorewalli kaughaldusena (muidu lõikad näppu ja ei pääse kaugelt süsteemile ligi).<br />
<br />
Kui shorewalli konfiguratsioonifailides on probleem, siis peaks vaatama logifaili<br />
<pre> less /var/log/shorewall-init.log </pre><br />
<br />
Logimine<br />
<br />
shorewall show log - näitab viimast 20 logitud rida<br />
shorewall logwatch - näitab logi teatud intervalliga<br />
shorewall dump - shorewall probleemide tuvastamiseks <br />
<br />
(erinevad võimalused: add, allow, check, clear, help, forget, hits, ipcalc, iprange, refresh, reject, show, try, )<br />
<br />
=Varundamine=<br />
<br />
Varundada on vaja konfiguratsioonifailid (näiteks asuvad konfiguratsioonifailid /etc/shorewall/ kaustas).<br />
<br />
<pre>ls -la /etc/shorewall/ - kuvatakse kausta shorewall sisu</pre> <br />
<br />
<pre>tar -zcp /etc/shorewall > /root/shorewall_reeglite_varu.tar.gz - pakime konfiguratsioonifailid kokku</pre><br />
<pre>cp -r /etc/shorewall > /root/varundamisekaust/shorewall - kopeerime failid varundamise kausta</pre><br />
<br />
=Eemaldamine=<br />
<br />
<b> Debian, Fedora, RedHat, Suse, Centos, Ubuntu, ... </b><br><br />
<pre> apt-get remove -purge shorewall </pre><br />
<pre> yum remove shorewall</pre><br />
<br />
RPM<br><br />
<pre>rpm -e shorewall</pre><br />
<br />
TAR<br><br />
Mine shorewalli kausta (cd /shorewall/kasuta/asukoht) ja käivita käsk<br />
<pre>./uninstall.sh</pre><br />
<br />
=Kokkuvõte=<br />
<br />
Shorewall tarkvara on lihtne paigaldada ja hallata. Paigaldamisel tuleb kasuks kui teate mõningaid teadmisi linuxi valdkonnast (alusta järgnevalt [https://wiki.itcollege.ee/index.php/Category:IT_infrastruktuuri_teenused lingilt]).<br />
<br />
Shorewall projektiga tegeletakse aktiivselt edasi ja soovitan huvilistel olla kursis uudistega, mille leiad järgnevalt [http://www.shorewall.net/News.htm lingilt].<br />
<br />
=Kasutatud kirjandus=<br />
* http://www.shorewall.net/<br />
* http://en.wikipedia.org/wiki/Shorewall<br />
* http://en.wikipedia.org/wiki/Netfilter<br />
* http://www.netfilter.org/<br />
* http://www.frozentux.net/documents/iptables-tutorial/<br />
* http://easyfwgen.morizot.net/gen/ - hea tulemüüri reeglite genereerimiseks<br />
<br />
<br />
[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]</div>Rkolgahttps://wiki.itcollege.ee/index.php?title=Shorewall&diff=6898Shorewall2010-04-17T11:56:56Z<p>Rkolga: /* Eelinfo */</p>
<hr />
<div><br><br />
<b> Autor: </b> Ragnar Kolga - AK32<br />
<br />
=Sissejuhatus=<br />
<br />
<b> Shorewall (alias Shoreline Firewall)</b> on tarkvaraline vahend netfiltri konfigureerimiseks Linuxis (linux - operatsioonisüsteem linux kernelil).<br />
<b>Netfilter</b> koos kasutajaliidesega iptables on paketifilter. Shorewall konfigureerib Netfiltri, kasutades konfiguratsioonifaile ja seda iptables utiliidi vahendusel. Shorewalli on võimalik kasutada tulemüürina väga erinevatel seadmetel (ruuteritel, serveritel, ...).<br />
<br />
Shorewall teeb lihtsamaks tulemüürireeglite manageerimise. Reeglid defineeritakse tekstifailides ja on lihtsasti muudetavad.<br />
Uuele kasutajale selles valdkonnas on kindlasti lihtsamaid tulemüüri reeglite haldamise vahendeid, millel on olemas ka graafiline liides.<br />
<br />
Alates 4.2 versioonist on toetatud ka IPv6.<br />
<br />
Viimane stabiilne versioon on 4.4.7 (04.2010 seisuga).<br />
Shorewalli tarkvara on saadaval ingliskeelsena. Litsents on GPLv2 ja üks arendajatest on Thomas M.Eastep.<br />
<br />
=Eelinfo=<br />
<br />
Oluline oleks veel teada, et <b>netfilter</b> lubab defineerida reegleid, kuidas käsitletakse võrgupakette.<br />
<br />
<br />
Netfilter koosneb erinevatest ahelast : <br />
INPUT - sissetulevad paketid <br />
OUTPUT - väljuvad paketid <br />
FORWARD - edastatavad paketid <br />
PREROUTING ja POSTROUTING - põhiliselt NAT tegemiseks (kui ei ole piisavalt avalike ip aadresse siis tuleb kasutada NAT-i). <br />
<br />
Siinkohal tooks veel välja, et <b>iptables</b> on vahend netfilter tabelite konfigureerimiseks (reeglitest koosnevad tabelid).<br />
<br />
Alustuseks tuleks luua üldine võrgu skeem ( [http://docs.huihoo.com/shorewall/2.0/images/basics.png Joonis] [http://docs.huihoo.com/shorewall/2.0/images Veel erinevaid lahendusi]). <br />
<br />
Järgnevalt tooksin välja tegevused shorewalli konfiguratsioonifailidega (abiks edaspidistel tegevustel ja tekib parem ettekujutus toimuvast).<br />
<br />
<b> Fail Tegevus </b><br />
Zones Võrgu jagamine tsoonideks <br />
Hosts, Interfaces Defineeritakse tsoonid tulemüüri liideste ja ip aadressitega <br />
Defineeritakse erinevate tsoonide võrguliikluse piirangud<br />
Policy Tsoonide vaheline ligipääs<br />
Rules Määratakse teenuste kaupa ligipääsu reeglid<br />
Määratakse destination NAT (D-NAT) reeglid<br />
Masq Määratakse Source NAT (S-NAT) reeglid<br />
Shorewall.conf Üldise konfiguratsioonifaili määrangud<br />
... Muud piirangud<br />
<br />
<br />
<b>Abistavad käsud võrguliideste määramiseks konfiguratsioonifailides:</b><br />
<pre>ip route ls </pre> - võrguaadressid<br />
<pre>ifconfig -a</pre> - millised võrguliidesed on sinu arvutis<br />
<pre> route -n</pre> - ruutingutabel<br />
...<br />
<b>Abistavad käsud reeglite määramiseks konfiguratsioonifailides:</b><br />
<pre>netstat -tnl</pre> - millised tcp teenused<br />
<pre>netstat -unl</pre> - millised udp teenused<br />
<pre>netstat -luntp</pre> - millised teenused töötavad sinu süsteemis<br />
<pre>grep "teenuse nimi" /etc/services</pre> - vaata milline on teenuse port<br />
...<br />
<br />
PS. Kõik käsud on käivitatud root kasutaja õigustes :-|<br />
<br />
=Installeerimine=<br />
<br />
[http://www.shorewall.net/Install.htm Juhend ]<br />
<br />
<pre>yum install shorewall</pre><br />
<br />
Lae alla shorewall 4.4.8 versioon käsurealt (vaata endale teine sobiv versioon ([http://slovakia.shorewall.net/pub/shorewall/ Vaata teine versioon])):<br />
<pre>wget http://slovakia.shorewall.net/pub/shorewall/4.4/shorewall-4.4.8/shorewall-4.4.8-2.noarch.rpm </pre><br />
<br />
Installeeri<br />
<pre>N: rpm -ivh <shorewall-4.4.8-2.noarch.rpm></pre><br />
<br />
Edaspdid siis asenda uuema versiooni rpm faili nimega<br />
<pre>rpm -ivh <shorewall rpm paketi nimi></pre><br />
<br />
TAR installeerimine käsurealt<br />
<pre>wget http://slovakia.shorewall.net/pub/shorewall/4.4/shorewall-4.4.8/shorewall-docs-html-4.4.8.tar.bz2</pre><br />
<br />
<pre>tar -jxf shorewall-x.x.x.tar.bz2</pre><br />
<pre>tar -xzf shorewall_versiooninr.tgz</pre><br />
Mine shorewall kausta (cd shorewallkaus) ja käivita käsk<br />
<pre>./install.sh</pre><br />
<br />
Kopeerime näidis konfiguratsioonifailid /etc/shorewall kausta (Debian)<br />
<pre> cp /usr/share/doc/shorewall/default-config/* /etc/shorewall/ </pre><br />
<br />
=Konfigureerimine=<br />
<br />
Shorewalli olulisemad konfiguratsioonifailid on zones, policy, rules ja shorewall.conf.<br />
Antud referaadi koostamisel lähtud kõige levinumast lahendusest, kus on üks <b>välisvõrgu ja sisevõrgu</b> liides.<br><br />
<br />
[http://www.shorewall.net/shorewall_setup_guide.htm Konfigureerimisest]<br />
<br />
<br><b> Zones (tsoonid) konfiguratsioonifail </b><br><br />
<br />
Ühe tsooni piires kehtivad ühensugused tulemüüri reeglid.<br />
Kõigepealt tuleb konfigureerida erinevad võrgu tsoonid. Kirjeldada tuleb tsoonidele nimed.<br />
Näiteks välisvõrk net (interNET) ja sisevõrk loc (LOCal või private).<br />
<br />
<br />
--- konfiguratsioonifaili sisu ---<br />
#ZONE TYPE OPTIONS IN OUT<br />
# OPTIONS OPTIONS<br />
fw firewall<br />
net ipv4<br />
loc ipv4<br />
<br />
<br><b> Interfaces konfiguratsioonifail</b><br><br />
Võrguliideste defineerimine. Siin määrame milline võrguliides vastab tsoonifailis oleva kirjeldusega. <br />
<br />
--- konfiguratsioonifaili sisu ---<br />
#ZONE INTERFACE BROADCAST OPTIONS<br />
net eth1 193.xxx.xxx.xxx routefilter<br />
loc eth0 172.xxx.xxx.255 dhcp,routeback<br />
<br />
Zone - tsoon mis on defineeritud zones failis.<br />
Interfaces - võrguliidese nimi.<br />
<br />
<br><b> Policy konfiguratsioonifail (General plan of action - tegevusplaan)</b><br><br />
<br />
--- konfiguratsioonifaili sisu ---<br />
#SOURCE DEST POLICY LOG LEVEL LIMIT:BURST<br />
loc net ACCEPT<br />
net all DROP info<br />
all all REJECT info<br />
<br />
<b> Rules (reeglid) konfiguratsioonifail </b><br><br />
Kõige tähtsam konfiguratsioonifail. <br />
Reeglite failis määratakse mis on lubatud ja keelatud. Kõikide uute ühenduste loomisel kontrollitakse tulemüüri reegleid.<br />
[http://www.shorewall.net/manpages/shorewall-rules.html Lisainfo reeglite kasutamisest]<br />
<br />
--- konfiguratsioonifaili sisu ---<br />
#ACTION SOURCE DEST PROTO DEST PORT(S)<br />
Web(DNAT) net loc:10.10.10.2 # lubame veebi (port 80) 10.10.10.2 masinasse<br />
ACCEPT dmz net tcp smtp # lubame smtp<br />
<br />
<br />
<b> shorewall.conf </b><br><br />
<br />
[http://www.shorewall.net/manpages/shorewall.conf.html Konfigureerimisest täpsemalt]<br />
<br />
#STARTUP_ENABLED=No<br />
STARTUP_ENABLED=Yes<br />
<br />
#IPTABLES=<br />
IPTABLES=/sbin/iptables<br />
<br />
#IP_FORWARDING=On<br />
IP_FORWARDING=Off<br />
<br />
<br />
Kui tulemüüri reeglid on paigas võiks proovida teenust käivitada teatud perioodiks, vältimaks ligipääsu probleeme ...<br />
<pre> shorewall try /etc/shorewall 120 </pre> <br />
Shorewall käivitatakse 120 sekundiks.<br />
<br />
=Teenus (start/stop/restart/status)=<br />
<br />
<pre> service shorewall start - teenuse käivitamine </pre><br />
<pre> service shorewall stop - teenuse seiskamine </pre><br />
<pre> service shorewall restart - teenuse taaskäivitamine </pre><br />
<pre> service shorewall status - teenuse oleku kuvamine (iptables reeglid, loodud ja loomisel ühendused, ...) </pre><br />
<br />
<br />
=Probleemid=<br />
<br />
Ära installeeri shorewalli kaughaldusena (muidu lõikad näppu ja ei pääse kaugelt süsteemile ligi).<br />
<br />
Kui shorewalli konfiguratsioonifailides on probleem, siis peaks vaatama logifaili<br />
<pre> less /var/log/shorewall-init.log </pre><br />
<br />
Logimine<br />
<br />
shorewall show log - näitab viimast 20 logitud rida<br />
shorewall logwatch - näitab logi teatud intervalliga<br />
shorewall dump - shorewall probleemide tuvastamiseks <br />
<br />
(erinevad võimalused: add, allow, check, clear, help, forget, hits, ipcalc, iprange, refresh, reject, show, try, )<br />
<br />
=Varundamine=<br />
<br />
Varundada on vaja konfiguratsioonifailid (näiteks asuvad konfiguratsioonifailid /etc/shorewall/ kaustas).<br />
<br />
<pre>ls -la /etc/shorewall/ - kuvatakse kausta shorewall sisu</pre> <br />
<br />
<pre>tar -zcp /etc/shorewall > /root/shorewall_reeglite_varu.tar.gz - pakime konfiguratsioonifailid kokku</pre><br />
<pre>cp -r /etc/shorewall > /root/varundamisekaust/shorewall - kopeerime failid varundamise kausta</pre><br />
<br />
=Eemaldamine=<br />
<br />
<b> Debian, Fedora, RedHat, Suse, Centos, Ubuntu, ... </b><br><br />
<pre> apt-get remove -purge shorewall </pre><br />
<pre> yum remove shorewall</pre><br />
<br />
RPM<br><br />
<pre>rpm -e shorewall</pre><br />
<br />
TAR<br><br />
Mine shorewalli kausta (cd /shorewall/kasuta/asukoht) ja käivita käsk<br />
<pre>./uninstall.sh</pre><br />
<br />
=Kokkuvõte=<br />
<br />
Shorewall tarkvara on lihtne paigaldada ja hallata. Paigaldamisel tuleb kasuks kui teate mõningaid teadmisi linuxi valdkonnast (alusta järgnevalt [https://wiki.itcollege.ee/index.php/Category:IT_infrastruktuuri_teenused lingilt]).<br />
<br />
Shorewall projektiga tegeletakse aktiivselt edasi ja soovitan huvilistel olla kursis uudistega, mille leiad järgnevalt [http://www.shorewall.net/News.htm lingilt].<br />
<br />
=Kasutatud kirjandus=<br />
* http://www.shorewall.net/<br />
* http://en.wikipedia.org/wiki/Shorewall<br />
* http://en.wikipedia.org/wiki/Netfilter<br />
* http://www.netfilter.org/<br />
* http://www.frozentux.net/documents/iptables-tutorial/<br />
* http://easyfwgen.morizot.net/gen/ - hea tulemüüri reeglite genereerimiseks<br />
<br />
<br />
[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]</div>Rkolgahttps://wiki.itcollege.ee/index.php?title=Shorewall&diff=6893Shorewall2010-04-17T11:02:06Z<p>Rkolga: /* Kokkuvõte */</p>
<hr />
<div><br><br />
<b> Autor: </b> Ragnar Kolga - AK32<br />
<br />
=Sissejuhatus=<br />
<br />
<b> Shorewall (alias Shoreline Firewall)</b> on tarkvaraline vahend netfiltri konfigureerimiseks Linuxis (linux - operatsioonisüsteem linux kernelil).<br />
<b>Netfilter</b> koos kasutajaliidesega iptables on paketifilter. Shorewall konfigureerib Netfiltri, kasutades konfiguratsioonifaile ja seda iptables utiliidi vahendusel. Shorewalli on võimalik kasutada tulemüürina väga erinevatel seadmetel (ruuteritel, serveritel, ...).<br />
<br />
Shorewall teeb lihtsamaks tulemüürireeglite manageerimise. Reeglid defineeritakse tekstifailides ja on lihtsasti muudetavad.<br />
Uuele kasutajale selles valdkonnas on kindlasti lihtsamaid tulemüüri reeglite haldamise vahendeid, millel on olemas ka graafiline liides.<br />
<br />
Alates 4.2 versioonist on toetatud ka IPv6.<br />
<br />
Viimane stabiilne versioon on 4.4.7 (04.2010 seisuga).<br />
Shorewalli tarkvara on saadaval ingliskeelsena. Litsents on GPLv2 ja üks arendajatest on Thomas M.Eastep.<br />
<br />
=Eelinfo=<br />
<br />
Oluline oleks veel teada, et <b>netfilter</b> lubab defineerida reegleid, kuidas käsitletakse võrgupakette.<br />
<br />
<br />
Netfilter koosneb erinevatest ahelast : <br />
INPUT - sissetulevad paketid <br />
OUTPUT - väljuvad paketid <br />
FORWARD - edastatavad paketid <br />
PREROUTING ja POSTROUTING - põhiliselt NAT tegemiseks (kui ei ole piisavalt avalike ip aadresse siis tuleb kasutada NAT-i). <br />
<br />
Siinkohal tooks veel välja, et <b>iptables</b> on vahend netfilter tabelite konfigureerimiseks (reeglitest koosnevad tabelid).<br />
<br />
Alustuseks tuleks luua üldine võrgu skeem ( [http://docs.huihoo.com/shorewall/2.0/images/basics.png Joonis] [http://docs.huihoo.com/shorewall/2.0/images Veel erinevaid lahendusi]). <br />
<br />
Järgnevalt tooksin välja tegevused shorewalli konfiguratsioonifailidega (abiks edaspidistel tegevustel ja tekib parem ettekujutus toimuvast).<br />
<br />
<b> Fail Tegevus </b><br />
Zones Võrgu jagamine tsoonideks <br />
Hosts, Interfaces Defineeritakse tsoonid tulemüüri liideste ja ip aadressitega <br />
Defineeritakse erinevate tsoonide võrguliikluse piirangud<br />
Policy Tsoonide vaheline ligipääs<br />
Rules Määratakse teenuste kaupa ligipääsu reeglid<br />
Määratakse destination NAT (D-NAT) reeglid<br />
Masq Määratakse Source NAT (S-NAT) reeglid<br />
Shorewall.conf Üldise konfiguratsioonifaili määrangud<br />
... Muud piirangud<br />
<br />
<br />
Abistavad käsud võrguliideste määramiseks konfiguratsioonifailides:<br />
<pre>ip route ls </pre> - võrguaadressid<br />
<pre>ifconfig -a</pre> - millised võrguliidesed on sinu arvutis<br />
<pre> route -n</pre> - ruutingutabel<br />
...<br />
Abistavad käsud reeglite määramiseks konfiguratsioonifailides:<br />
<pre>netstat -tnl</pre> - millised tcp teenused<br />
<pre>netstat -unl</pre> - millised udp teenused<br />
<pre>netstat -luntp</pre> - millised teenused töötavad sinu süsteemis<br />
<pre>grep "teenuse nimi" /etc/services</pre> - vaata milline on teenuse port<br />
...<br />
<br />
PS. Kõik käsud on käivitatud root kasutaja õigustes :-|<br />
<br />
=Installeerimine=<br />
<br />
[http://www.shorewall.net/Install.htm Juhend ]<br />
<br />
<pre>yum install shorewall</pre><br />
<br />
Lae alla shorewall 4.4.8 versioon käsurealt (vaata endale teine sobiv versioon ([http://slovakia.shorewall.net/pub/shorewall/ Vaata teine versioon])):<br />
<pre>wget http://slovakia.shorewall.net/pub/shorewall/4.4/shorewall-4.4.8/shorewall-4.4.8-2.noarch.rpm </pre><br />
<br />
Installeeri<br />
<pre>N: rpm -ivh <shorewall-4.4.8-2.noarch.rpm></pre><br />
<br />
Edaspdid siis asenda uuema versiooni rpm faili nimega<br />
<pre>rpm -ivh <shorewall rpm paketi nimi></pre><br />
<br />
TAR installeerimine käsurealt<br />
<pre>wget http://slovakia.shorewall.net/pub/shorewall/4.4/shorewall-4.4.8/shorewall-docs-html-4.4.8.tar.bz2</pre><br />
<br />
<pre>tar -jxf shorewall-x.x.x.tar.bz2</pre><br />
<pre>tar -xzf shorewall_versiooninr.tgz</pre><br />
Mine shorewall kausta (cd shorewallkaus) ja käivita käsk<br />
<pre>./install.sh</pre><br />
<br />
Kopeerime näidis konfiguratsioonifailid /etc/shorewall kausta (Debian)<br />
<pre> cp /usr/share/doc/shorewall/default-config/* /etc/shorewall/ </pre><br />
<br />
=Konfigureerimine=<br />
<br />
Shorewalli olulisemad konfiguratsioonifailid on zones, policy, rules ja shorewall.conf.<br />
Antud referaadi koostamisel lähtud kõige levinumast lahendusest, kus on üks <b>välisvõrgu ja sisevõrgu</b> liides.<br><br />
<br />
[http://www.shorewall.net/shorewall_setup_guide.htm Konfigureerimisest]<br />
<br />
<br><b> Zones (tsoonid) konfiguratsioonifail </b><br><br />
<br />
Ühe tsooni piires kehtivad ühensugused tulemüüri reeglid.<br />
Kõigepealt tuleb konfigureerida erinevad võrgu tsoonid. Kirjeldada tuleb tsoonidele nimed.<br />
Näiteks välisvõrk net (interNET) ja sisevõrk loc (LOCal või private).<br />
<br />
<br />
--- konfiguratsioonifaili sisu ---<br />
#ZONE TYPE OPTIONS IN OUT<br />
# OPTIONS OPTIONS<br />
fw firewall<br />
net ipv4<br />
loc ipv4<br />
<br />
<br><b> Interfaces konfiguratsioonifail</b><br><br />
Võrguliideste defineerimine. Siin määrame milline võrguliides vastab tsoonifailis oleva kirjeldusega. <br />
<br />
--- konfiguratsioonifaili sisu ---<br />
#ZONE INTERFACE BROADCAST OPTIONS<br />
net eth1 193.xxx.xxx.xxx routefilter<br />
loc eth0 172.xxx.xxx.255 dhcp,routeback<br />
<br />
Zone - tsoon mis on defineeritud zones failis.<br />
Interfaces - võrguliidese nimi.<br />
<br />
<br><b> Policy konfiguratsioonifail (General plan of action - tegevusplaan)</b><br><br />
<br />
--- konfiguratsioonifaili sisu ---<br />
#SOURCE DEST POLICY LOG LEVEL LIMIT:BURST<br />
loc net ACCEPT<br />
net all DROP info<br />
all all REJECT info<br />
<br />
<b> Rules (reeglid) konfiguratsioonifail </b><br><br />
Kõige tähtsam konfiguratsioonifail. <br />
Reeglite failis määratakse mis on lubatud ja keelatud. Kõikide uute ühenduste loomisel kontrollitakse tulemüüri reegleid.<br />
[http://www.shorewall.net/manpages/shorewall-rules.html Lisainfo reeglite kasutamisest]<br />
<br />
--- konfiguratsioonifaili sisu ---<br />
#ACTION SOURCE DEST PROTO DEST PORT(S)<br />
Web(DNAT) net loc:10.10.10.2 # lubame veebi (port 80) 10.10.10.2 masinasse<br />
ACCEPT dmz net tcp smtp # lubame smtp<br />
<br />
<br />
<b> shorewall.conf </b><br><br />
<br />
[http://www.shorewall.net/manpages/shorewall.conf.html Konfigureerimisest täpsemalt]<br />
<br />
#STARTUP_ENABLED=No<br />
STARTUP_ENABLED=Yes<br />
<br />
#IPTABLES=<br />
IPTABLES=/sbin/iptables<br />
<br />
#IP_FORWARDING=On<br />
IP_FORWARDING=Off<br />
<br />
<br />
Kui tulemüüri reeglid on paigas võiks proovida teenust käivitada teatud perioodiks, vältimaks ligipääsu probleeme ...<br />
<pre> shorewall try /etc/shorewall 120 </pre> <br />
Shorewall käivitatakse 120 sekundiks.<br />
<br />
=Teenus (start/stop/restart/status)=<br />
<br />
<pre> service shorewall start - teenuse käivitamine </pre><br />
<pre> service shorewall stop - teenuse seiskamine </pre><br />
<pre> service shorewall restart - teenuse taaskäivitamine </pre><br />
<pre> service shorewall status - teenuse oleku kuvamine (iptables reeglid, loodud ja loomisel ühendused, ...) </pre><br />
<br />
<br />
=Probleemid=<br />
<br />
Ära installeeri shorewalli kaughaldusena (muidu lõikad näppu ja ei pääse kaugelt süsteemile ligi).<br />
<br />
Kui shorewalli konfiguratsioonifailides on probleem, siis peaks vaatama logifaili<br />
<pre> less /var/log/shorewall-init.log </pre><br />
<br />
Logimine<br />
<br />
shorewall show log - näitab viimast 20 logitud rida<br />
shorewall logwatch - näitab logi teatud intervalliga<br />
shorewall dump - shorewall probleemide tuvastamiseks <br />
<br />
(erinevad võimalused: add, allow, check, clear, help, forget, hits, ipcalc, iprange, refresh, reject, show, try, )<br />
<br />
=Varundamine=<br />
<br />
Varundada on vaja konfiguratsioonifailid (näiteks asuvad konfiguratsioonifailid /etc/shorewall/ kaustas).<br />
<br />
<pre>ls -la /etc/shorewall/ - kuvatakse kausta shorewall sisu</pre> <br />
<br />
<pre>tar -zcp /etc/shorewall > /root/shorewall_reeglite_varu.tar.gz - pakime konfiguratsioonifailid kokku</pre><br />
<pre>cp -r /etc/shorewall > /root/varundamisekaust/shorewall - kopeerime failid varundamise kausta</pre><br />
<br />
=Eemaldamine=<br />
<br />
<b> Debian, Fedora, RedHat, Suse, Centos, Ubuntu, ... </b><br><br />
<pre> apt-get remove -purge shorewall </pre><br />
<pre> yum remove shorewall</pre><br />
<br />
RPM<br><br />
<pre>rpm -e shorewall</pre><br />
<br />
TAR<br><br />
Mine shorewalli kausta (cd /shorewall/kasuta/asukoht) ja käivita käsk<br />
<pre>./uninstall.sh</pre><br />
<br />
=Kokkuvõte=<br />
<br />
Shorewall tarkvara on lihtne paigaldada ja hallata. Paigaldamisel tuleb kasuks kui teate mõningaid teadmisi linuxi valdkonnast (alusta järgnevalt [https://wiki.itcollege.ee/index.php/Category:IT_infrastruktuuri_teenused lingilt]).<br />
<br />
Shorewall projektiga tegeletakse aktiivselt edasi ja soovitan huvilistel olla kursis uudistega, mille leiad järgnevalt [http://www.shorewall.net/News.htm lingilt].<br />
<br />
=Kasutatud kirjandus=<br />
* http://www.shorewall.net/<br />
* http://en.wikipedia.org/wiki/Shorewall<br />
* http://en.wikipedia.org/wiki/Netfilter<br />
* http://www.netfilter.org/<br />
* http://www.frozentux.net/documents/iptables-tutorial/<br />
* http://easyfwgen.morizot.net/gen/ - hea tulemüüri reeglite genereerimiseks<br />
<br />
<br />
[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]</div>Rkolgahttps://wiki.itcollege.ee/index.php?title=Shorewall&diff=6892Shorewall2010-04-17T11:01:07Z<p>Rkolga: /* Kokkuvõte */</p>
<hr />
<div><br><br />
<b> Autor: </b> Ragnar Kolga - AK32<br />
<br />
=Sissejuhatus=<br />
<br />
<b> Shorewall (alias Shoreline Firewall)</b> on tarkvaraline vahend netfiltri konfigureerimiseks Linuxis (linux - operatsioonisüsteem linux kernelil).<br />
<b>Netfilter</b> koos kasutajaliidesega iptables on paketifilter. Shorewall konfigureerib Netfiltri, kasutades konfiguratsioonifaile ja seda iptables utiliidi vahendusel. Shorewalli on võimalik kasutada tulemüürina väga erinevatel seadmetel (ruuteritel, serveritel, ...).<br />
<br />
Shorewall teeb lihtsamaks tulemüürireeglite manageerimise. Reeglid defineeritakse tekstifailides ja on lihtsasti muudetavad.<br />
Uuele kasutajale selles valdkonnas on kindlasti lihtsamaid tulemüüri reeglite haldamise vahendeid, millel on olemas ka graafiline liides.<br />
<br />
Alates 4.2 versioonist on toetatud ka IPv6.<br />
<br />
Viimane stabiilne versioon on 4.4.7 (04.2010 seisuga).<br />
Shorewalli tarkvara on saadaval ingliskeelsena. Litsents on GPLv2 ja üks arendajatest on Thomas M.Eastep.<br />
<br />
=Eelinfo=<br />
<br />
Oluline oleks veel teada, et <b>netfilter</b> lubab defineerida reegleid, kuidas käsitletakse võrgupakette.<br />
<br />
<br />
Netfilter koosneb erinevatest ahelast : <br />
INPUT - sissetulevad paketid <br />
OUTPUT - väljuvad paketid <br />
FORWARD - edastatavad paketid <br />
PREROUTING ja POSTROUTING - põhiliselt NAT tegemiseks (kui ei ole piisavalt avalike ip aadresse siis tuleb kasutada NAT-i). <br />
<br />
Siinkohal tooks veel välja, et <b>iptables</b> on vahend netfilter tabelite konfigureerimiseks (reeglitest koosnevad tabelid).<br />
<br />
Alustuseks tuleks luua üldine võrgu skeem ( [http://docs.huihoo.com/shorewall/2.0/images/basics.png Joonis] [http://docs.huihoo.com/shorewall/2.0/images Veel erinevaid lahendusi]). <br />
<br />
Järgnevalt tooksin välja tegevused shorewalli konfiguratsioonifailidega (abiks edaspidistel tegevustel ja tekib parem ettekujutus toimuvast).<br />
<br />
<b> Fail Tegevus </b><br />
Zones Võrgu jagamine tsoonideks <br />
Hosts, Interfaces Defineeritakse tsoonid tulemüüri liideste ja ip aadressitega <br />
Defineeritakse erinevate tsoonide võrguliikluse piirangud<br />
Policy Tsoonide vaheline ligipääs<br />
Rules Määratakse teenuste kaupa ligipääsu reeglid<br />
Määratakse destination NAT (D-NAT) reeglid<br />
Masq Määratakse Source NAT (S-NAT) reeglid<br />
Shorewall.conf Üldise konfiguratsioonifaili määrangud<br />
... Muud piirangud<br />
<br />
<br />
Abistavad käsud võrguliideste määramiseks konfiguratsioonifailides:<br />
<pre>ip route ls </pre> - võrguaadressid<br />
<pre>ifconfig -a</pre> - millised võrguliidesed on sinu arvutis<br />
<pre> route -n</pre> - ruutingutabel<br />
...<br />
Abistavad käsud reeglite määramiseks konfiguratsioonifailides:<br />
<pre>netstat -tnl</pre> - millised tcp teenused<br />
<pre>netstat -unl</pre> - millised udp teenused<br />
<pre>netstat -luntp</pre> - millised teenused töötavad sinu süsteemis<br />
<pre>grep "teenuse nimi" /etc/services</pre> - vaata milline on teenuse port<br />
...<br />
<br />
PS. Kõik käsud on käivitatud root kasutaja õigustes :-|<br />
<br />
=Installeerimine=<br />
<br />
[http://www.shorewall.net/Install.htm Juhend ]<br />
<br />
<pre>yum install shorewall</pre><br />
<br />
Lae alla shorewall 4.4.8 versioon käsurealt (vaata endale teine sobiv versioon ([http://slovakia.shorewall.net/pub/shorewall/ Vaata teine versioon])):<br />
<pre>wget http://slovakia.shorewall.net/pub/shorewall/4.4/shorewall-4.4.8/shorewall-4.4.8-2.noarch.rpm </pre><br />
<br />
Installeeri<br />
<pre>N: rpm -ivh <shorewall-4.4.8-2.noarch.rpm></pre><br />
<br />
Edaspdid siis asenda uuema versiooni rpm faili nimega<br />
<pre>rpm -ivh <shorewall rpm paketi nimi></pre><br />
<br />
TAR installeerimine käsurealt<br />
<pre>wget http://slovakia.shorewall.net/pub/shorewall/4.4/shorewall-4.4.8/shorewall-docs-html-4.4.8.tar.bz2</pre><br />
<br />
<pre>tar -jxf shorewall-x.x.x.tar.bz2</pre><br />
<pre>tar -xzf shorewall_versiooninr.tgz</pre><br />
Mine shorewall kausta (cd shorewallkaus) ja käivita käsk<br />
<pre>./install.sh</pre><br />
<br />
Kopeerime näidis konfiguratsioonifailid /etc/shorewall kausta (Debian)<br />
<pre> cp /usr/share/doc/shorewall/default-config/* /etc/shorewall/ </pre><br />
<br />
=Konfigureerimine=<br />
<br />
Shorewalli olulisemad konfiguratsioonifailid on zones, policy, rules ja shorewall.conf.<br />
Antud referaadi koostamisel lähtud kõige levinumast lahendusest, kus on üks <b>välisvõrgu ja sisevõrgu</b> liides.<br><br />
<br />
[http://www.shorewall.net/shorewall_setup_guide.htm Konfigureerimisest]<br />
<br />
<br><b> Zones (tsoonid) konfiguratsioonifail </b><br><br />
<br />
Ühe tsooni piires kehtivad ühensugused tulemüüri reeglid.<br />
Kõigepealt tuleb konfigureerida erinevad võrgu tsoonid. Kirjeldada tuleb tsoonidele nimed.<br />
Näiteks välisvõrk net (interNET) ja sisevõrk loc (LOCal või private).<br />
<br />
<br />
--- konfiguratsioonifaili sisu ---<br />
#ZONE TYPE OPTIONS IN OUT<br />
# OPTIONS OPTIONS<br />
fw firewall<br />
net ipv4<br />
loc ipv4<br />
<br />
<br><b> Interfaces konfiguratsioonifail</b><br><br />
Võrguliideste defineerimine. Siin määrame milline võrguliides vastab tsoonifailis oleva kirjeldusega. <br />
<br />
--- konfiguratsioonifaili sisu ---<br />
#ZONE INTERFACE BROADCAST OPTIONS<br />
net eth1 193.xxx.xxx.xxx routefilter<br />
loc eth0 172.xxx.xxx.255 dhcp,routeback<br />
<br />
Zone - tsoon mis on defineeritud zones failis.<br />
Interfaces - võrguliidese nimi.<br />
<br />
<br><b> Policy konfiguratsioonifail (General plan of action - tegevusplaan)</b><br><br />
<br />
--- konfiguratsioonifaili sisu ---<br />
#SOURCE DEST POLICY LOG LEVEL LIMIT:BURST<br />
loc net ACCEPT<br />
net all DROP info<br />
all all REJECT info<br />
<br />
<b> Rules (reeglid) konfiguratsioonifail </b><br><br />
Kõige tähtsam konfiguratsioonifail. <br />
Reeglite failis määratakse mis on lubatud ja keelatud. Kõikide uute ühenduste loomisel kontrollitakse tulemüüri reegleid.<br />
[http://www.shorewall.net/manpages/shorewall-rules.html Lisainfo reeglite kasutamisest]<br />
<br />
--- konfiguratsioonifaili sisu ---<br />
#ACTION SOURCE DEST PROTO DEST PORT(S)<br />
Web(DNAT) net loc:10.10.10.2 # lubame veebi (port 80) 10.10.10.2 masinasse<br />
ACCEPT dmz net tcp smtp # lubame smtp<br />
<br />
<br />
<b> shorewall.conf </b><br><br />
<br />
[http://www.shorewall.net/manpages/shorewall.conf.html Konfigureerimisest täpsemalt]<br />
<br />
#STARTUP_ENABLED=No<br />
STARTUP_ENABLED=Yes<br />
<br />
#IPTABLES=<br />
IPTABLES=/sbin/iptables<br />
<br />
#IP_FORWARDING=On<br />
IP_FORWARDING=Off<br />
<br />
<br />
Kui tulemüüri reeglid on paigas võiks proovida teenust käivitada teatud perioodiks, vältimaks ligipääsu probleeme ...<br />
<pre> shorewall try /etc/shorewall 120 </pre> <br />
Shorewall käivitatakse 120 sekundiks.<br />
<br />
=Teenus (start/stop/restart/status)=<br />
<br />
<pre> service shorewall start - teenuse käivitamine </pre><br />
<pre> service shorewall stop - teenuse seiskamine </pre><br />
<pre> service shorewall restart - teenuse taaskäivitamine </pre><br />
<pre> service shorewall status - teenuse oleku kuvamine (iptables reeglid, loodud ja loomisel ühendused, ...) </pre><br />
<br />
<br />
=Probleemid=<br />
<br />
Ära installeeri shorewalli kaughaldusena (muidu lõikad näppu ja ei pääse kaugelt süsteemile ligi).<br />
<br />
Kui shorewalli konfiguratsioonifailides on probleem, siis peaks vaatama logifaili<br />
<pre> less /var/log/shorewall-init.log </pre><br />
<br />
Logimine<br />
<br />
shorewall show log - näitab viimast 20 logitud rida<br />
shorewall logwatch - näitab logi teatud intervalliga<br />
shorewall dump - shorewall probleemide tuvastamiseks <br />
<br />
(erinevad võimalused: add, allow, check, clear, help, forget, hits, ipcalc, iprange, refresh, reject, show, try, )<br />
<br />
=Varundamine=<br />
<br />
Varundada on vaja konfiguratsioonifailid (näiteks asuvad konfiguratsioonifailid /etc/shorewall/ kaustas).<br />
<br />
<pre>ls -la /etc/shorewall/ - kuvatakse kausta shorewall sisu</pre> <br />
<br />
<pre>tar -zcp /etc/shorewall > /root/shorewall_reeglite_varu.tar.gz - pakime konfiguratsioonifailid kokku</pre><br />
<pre>cp -r /etc/shorewall > /root/varundamisekaust/shorewall - kopeerime failid varundamise kausta</pre><br />
<br />
=Eemaldamine=<br />
<br />
<b> Debian, Fedora, RedHat, Suse, Centos, Ubuntu, ... </b><br><br />
<pre> apt-get remove -purge shorewall </pre><br />
<pre> yum remove shorewall</pre><br />
<br />
RPM<br><br />
<pre>rpm -e shorewall</pre><br />
<br />
TAR<br><br />
Mine shorewalli kausta (cd /shorewall/kasuta/asukoht) ja käivita käsk<br />
<pre>./uninstall.sh</pre><br />
<br />
=Kokkuvõte=<br />
<br />
Shorewall tarkvara on lihtne paigaldada ja hallata. Paigaldamine eeldab mõningaid teadmisi linuxi valdkonnast (need saate hankida järgnevalt [https://wiki.itcollege.ee/index.php/Category:IT_infrastruktuuri_teenused lingilt]).<br />
<br />
Shorewall projektiga tegeletakse aktiivselt edasi ja soovitan huvilistel olla kursis uudistega, mille leiad järgnevalt [http://www.shorewall.net/News.htm lingilt].<br />
<br />
=Kasutatud kirjandus=<br />
* http://www.shorewall.net/<br />
* http://en.wikipedia.org/wiki/Shorewall<br />
* http://en.wikipedia.org/wiki/Netfilter<br />
* http://www.netfilter.org/<br />
* http://www.frozentux.net/documents/iptables-tutorial/<br />
* http://easyfwgen.morizot.net/gen/ - hea tulemüüri reeglite genereerimiseks<br />
<br />
<br />
[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]</div>Rkolgahttps://wiki.itcollege.ee/index.php?title=Shorewall&diff=6890Shorewall2010-04-17T10:51:58Z<p>Rkolga: /* Eemaldamine */</p>
<hr />
<div><br><br />
<b> Autor: </b> Ragnar Kolga - AK32<br />
<br />
=Sissejuhatus=<br />
<br />
<b> Shorewall (alias Shoreline Firewall)</b> on tarkvaraline vahend netfiltri konfigureerimiseks Linuxis (linux - operatsioonisüsteem linux kernelil).<br />
<b>Netfilter</b> koos kasutajaliidesega iptables on paketifilter. Shorewall konfigureerib Netfiltri, kasutades konfiguratsioonifaile ja seda iptables utiliidi vahendusel. Shorewalli on võimalik kasutada tulemüürina väga erinevatel seadmetel (ruuteritel, serveritel, ...).<br />
<br />
Shorewall teeb lihtsamaks tulemüürireeglite manageerimise. Reeglid defineeritakse tekstifailides ja on lihtsasti muudetavad.<br />
Uuele kasutajale selles valdkonnas on kindlasti lihtsamaid tulemüüri reeglite haldamise vahendeid, millel on olemas ka graafiline liides.<br />
<br />
Alates 4.2 versioonist on toetatud ka IPv6.<br />
<br />
Viimane stabiilne versioon on 4.4.7 (04.2010 seisuga).<br />
Shorewalli tarkvara on saadaval ingliskeelsena. Litsents on GPLv2 ja üks arendajatest on Thomas M.Eastep.<br />
<br />
=Eelinfo=<br />
<br />
Oluline oleks veel teada, et <b>netfilter</b> lubab defineerida reegleid, kuidas käsitletakse võrgupakette.<br />
<br />
<br />
Netfilter koosneb erinevatest ahelast : <br />
INPUT - sissetulevad paketid <br />
OUTPUT - väljuvad paketid <br />
FORWARD - edastatavad paketid <br />
PREROUTING ja POSTROUTING - põhiliselt NAT tegemiseks (kui ei ole piisavalt avalike ip aadresse siis tuleb kasutada NAT-i). <br />
<br />
Siinkohal tooks veel välja, et <b>iptables</b> on vahend netfilter tabelite konfigureerimiseks (reeglitest koosnevad tabelid).<br />
<br />
Alustuseks tuleks luua üldine võrgu skeem ( [http://docs.huihoo.com/shorewall/2.0/images/basics.png Joonis] [http://docs.huihoo.com/shorewall/2.0/images Veel erinevaid lahendusi]). <br />
<br />
Järgnevalt tooksin välja tegevused shorewalli konfiguratsioonifailidega (abiks edaspidistel tegevustel ja tekib parem ettekujutus toimuvast).<br />
<br />
<b> Fail Tegevus </b><br />
Zones Võrgu jagamine tsoonideks <br />
Hosts, Interfaces Defineeritakse tsoonid tulemüüri liideste ja ip aadressitega <br />
Defineeritakse erinevate tsoonide võrguliikluse piirangud<br />
Policy Tsoonide vaheline ligipääs<br />
Rules Määratakse teenuste kaupa ligipääsu reeglid<br />
Määratakse destination NAT (D-NAT) reeglid<br />
Masq Määratakse Source NAT (S-NAT) reeglid<br />
Shorewall.conf Üldise konfiguratsioonifaili määrangud<br />
... Muud piirangud<br />
<br />
<br />
Abistavad käsud võrguliideste määramiseks konfiguratsioonifailides:<br />
<pre>ip route ls </pre> - võrguaadressid<br />
<pre>ifconfig -a</pre> - millised võrguliidesed on sinu arvutis<br />
<pre> route -n</pre> - ruutingutabel<br />
...<br />
Abistavad käsud reeglite määramiseks konfiguratsioonifailides:<br />
<pre>netstat -tnl</pre> - millised tcp teenused<br />
<pre>netstat -unl</pre> - millised udp teenused<br />
<pre>netstat -luntp</pre> - millised teenused töötavad sinu süsteemis<br />
<pre>grep "teenuse nimi" /etc/services</pre> - vaata milline on teenuse port<br />
...<br />
<br />
PS. Kõik käsud on käivitatud root kasutaja õigustes :-|<br />
<br />
=Installeerimine=<br />
<br />
[http://www.shorewall.net/Install.htm Juhend ]<br />
<br />
<pre>yum install shorewall</pre><br />
<br />
Lae alla shorewall 4.4.8 versioon käsurealt (vaata endale teine sobiv versioon ([http://slovakia.shorewall.net/pub/shorewall/ Vaata teine versioon])):<br />
<pre>wget http://slovakia.shorewall.net/pub/shorewall/4.4/shorewall-4.4.8/shorewall-4.4.8-2.noarch.rpm </pre><br />
<br />
Installeeri<br />
<pre>N: rpm -ivh <shorewall-4.4.8-2.noarch.rpm></pre><br />
<br />
Edaspdid siis asenda uuema versiooni rpm faili nimega<br />
<pre>rpm -ivh <shorewall rpm paketi nimi></pre><br />
<br />
TAR installeerimine käsurealt<br />
<pre>wget http://slovakia.shorewall.net/pub/shorewall/4.4/shorewall-4.4.8/shorewall-docs-html-4.4.8.tar.bz2</pre><br />
<br />
<pre>tar -jxf shorewall-x.x.x.tar.bz2</pre><br />
<pre>tar -xzf shorewall_versiooninr.tgz</pre><br />
Mine shorewall kausta (cd shorewallkaus) ja käivita käsk<br />
<pre>./install.sh</pre><br />
<br />
Kopeerime näidis konfiguratsioonifailid /etc/shorewall kausta (Debian)<br />
<pre> cp /usr/share/doc/shorewall/default-config/* /etc/shorewall/ </pre><br />
<br />
=Konfigureerimine=<br />
<br />
Shorewalli olulisemad konfiguratsioonifailid on zones, policy, rules ja shorewall.conf.<br />
Antud referaadi koostamisel lähtud kõige levinumast lahendusest, kus on üks <b>välisvõrgu ja sisevõrgu</b> liides.<br><br />
<br />
[http://www.shorewall.net/shorewall_setup_guide.htm Konfigureerimisest]<br />
<br />
<br><b> Zones (tsoonid) konfiguratsioonifail </b><br><br />
<br />
Ühe tsooni piires kehtivad ühensugused tulemüüri reeglid.<br />
Kõigepealt tuleb konfigureerida erinevad võrgu tsoonid. Kirjeldada tuleb tsoonidele nimed.<br />
Näiteks välisvõrk net (interNET) ja sisevõrk loc (LOCal või private).<br />
<br />
<br />
--- konfiguratsioonifaili sisu ---<br />
#ZONE TYPE OPTIONS IN OUT<br />
# OPTIONS OPTIONS<br />
fw firewall<br />
net ipv4<br />
loc ipv4<br />
<br />
<br><b> Interfaces konfiguratsioonifail</b><br><br />
Võrguliideste defineerimine. Siin määrame milline võrguliides vastab tsoonifailis oleva kirjeldusega. <br />
<br />
--- konfiguratsioonifaili sisu ---<br />
#ZONE INTERFACE BROADCAST OPTIONS<br />
net eth1 193.xxx.xxx.xxx routefilter<br />
loc eth0 172.xxx.xxx.255 dhcp,routeback<br />
<br />
Zone - tsoon mis on defineeritud zones failis.<br />
Interfaces - võrguliidese nimi.<br />
<br />
<br><b> Policy konfiguratsioonifail (General plan of action - tegevusplaan)</b><br><br />
<br />
--- konfiguratsioonifaili sisu ---<br />
#SOURCE DEST POLICY LOG LEVEL LIMIT:BURST<br />
loc net ACCEPT<br />
net all DROP info<br />
all all REJECT info<br />
<br />
<b> Rules (reeglid) konfiguratsioonifail </b><br><br />
Kõige tähtsam konfiguratsioonifail. <br />
Reeglite failis määratakse mis on lubatud ja keelatud. Kõikide uute ühenduste loomisel kontrollitakse tulemüüri reegleid.<br />
[http://www.shorewall.net/manpages/shorewall-rules.html Lisainfo reeglite kasutamisest]<br />
<br />
--- konfiguratsioonifaili sisu ---<br />
#ACTION SOURCE DEST PROTO DEST PORT(S)<br />
Web(DNAT) net loc:10.10.10.2 # lubame veebi (port 80) 10.10.10.2 masinasse<br />
ACCEPT dmz net tcp smtp # lubame smtp<br />
<br />
<br />
<b> shorewall.conf </b><br><br />
<br />
[http://www.shorewall.net/manpages/shorewall.conf.html Konfigureerimisest täpsemalt]<br />
<br />
#STARTUP_ENABLED=No<br />
STARTUP_ENABLED=Yes<br />
<br />
#IPTABLES=<br />
IPTABLES=/sbin/iptables<br />
<br />
#IP_FORWARDING=On<br />
IP_FORWARDING=Off<br />
<br />
<br />
Kui tulemüüri reeglid on paigas võiks proovida teenust käivitada teatud perioodiks, vältimaks ligipääsu probleeme ...<br />
<pre> shorewall try /etc/shorewall 120 </pre> <br />
Shorewall käivitatakse 120 sekundiks.<br />
<br />
=Teenus (start/stop/restart/status)=<br />
<br />
<pre> service shorewall start - teenuse käivitamine </pre><br />
<pre> service shorewall stop - teenuse seiskamine </pre><br />
<pre> service shorewall restart - teenuse taaskäivitamine </pre><br />
<pre> service shorewall status - teenuse oleku kuvamine (iptables reeglid, loodud ja loomisel ühendused, ...) </pre><br />
<br />
<br />
=Probleemid=<br />
<br />
Ära installeeri shorewalli kaughaldusena (muidu lõikad näppu ja ei pääse kaugelt süsteemile ligi).<br />
<br />
Kui shorewalli konfiguratsioonifailides on probleem, siis peaks vaatama logifaili<br />
<pre> less /var/log/shorewall-init.log </pre><br />
<br />
Logimine<br />
<br />
shorewall show log - näitab viimast 20 logitud rida<br />
shorewall logwatch - näitab logi teatud intervalliga<br />
shorewall dump - shorewall probleemide tuvastamiseks <br />
<br />
(erinevad võimalused: add, allow, check, clear, help, forget, hits, ipcalc, iprange, refresh, reject, show, try, )<br />
<br />
=Varundamine=<br />
<br />
Varundada on vaja konfiguratsioonifailid (näiteks asuvad konfiguratsioonifailid /etc/shorewall/ kaustas).<br />
<br />
<pre>ls -la /etc/shorewall/ - kuvatakse kausta shorewall sisu</pre> <br />
<br />
<pre>tar -zcp /etc/shorewall > /root/shorewall_reeglite_varu.tar.gz - pakime konfiguratsioonifailid kokku</pre><br />
<pre>cp -r /etc/shorewall > /root/varundamisekaust/shorewall - kopeerime failid varundamise kausta</pre><br />
<br />
=Eemaldamine=<br />
<br />
<b> Debian, Fedora, RedHat, Suse, Centos, Ubuntu, ... </b><br><br />
<pre> apt-get remove -purge shorewall </pre><br />
<pre> yum remove shorewall</pre><br />
<br />
RPM<br><br />
<pre>rpm -e shorewall</pre><br />
<br />
TAR<br><br />
Mine shorewalli kausta (cd /shorewall/kasuta/asukoht) ja käivita käsk<br />
<pre>./uninstall.sh</pre><br />
<br />
=Kokkuvõte=<br />
<br />
Shorewall tarkvara on lihtne paigaldada ja hallata. Shorewall projektiga tegeletakse aktiivselt edasi ja soovitan huvilistel olla kursis uudistega, mille leiad järgnevalt [http://www.shorewall.net/News.htm lingilt].<br />
<br />
=Kasutatud kirjandus=<br />
* http://www.shorewall.net/<br />
* http://en.wikipedia.org/wiki/Shorewall<br />
* http://en.wikipedia.org/wiki/Netfilter<br />
* http://www.netfilter.org/<br />
* http://www.frozentux.net/documents/iptables-tutorial/<br />
* http://easyfwgen.morizot.net/gen/ - hea tulemüüri reeglite genereerimiseks<br />
<br />
<br />
[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]</div>Rkolgahttps://wiki.itcollege.ee/index.php?title=Shorewall&diff=6889Shorewall2010-04-17T10:49:15Z<p>Rkolga: /* Eemaldamine */</p>
<hr />
<div><br><br />
<b> Autor: </b> Ragnar Kolga - AK32<br />
<br />
=Sissejuhatus=<br />
<br />
<b> Shorewall (alias Shoreline Firewall)</b> on tarkvaraline vahend netfiltri konfigureerimiseks Linuxis (linux - operatsioonisüsteem linux kernelil).<br />
<b>Netfilter</b> koos kasutajaliidesega iptables on paketifilter. Shorewall konfigureerib Netfiltri, kasutades konfiguratsioonifaile ja seda iptables utiliidi vahendusel. Shorewalli on võimalik kasutada tulemüürina väga erinevatel seadmetel (ruuteritel, serveritel, ...).<br />
<br />
Shorewall teeb lihtsamaks tulemüürireeglite manageerimise. Reeglid defineeritakse tekstifailides ja on lihtsasti muudetavad.<br />
Uuele kasutajale selles valdkonnas on kindlasti lihtsamaid tulemüüri reeglite haldamise vahendeid, millel on olemas ka graafiline liides.<br />
<br />
Alates 4.2 versioonist on toetatud ka IPv6.<br />
<br />
Viimane stabiilne versioon on 4.4.7 (04.2010 seisuga).<br />
Shorewalli tarkvara on saadaval ingliskeelsena. Litsents on GPLv2 ja üks arendajatest on Thomas M.Eastep.<br />
<br />
=Eelinfo=<br />
<br />
Oluline oleks veel teada, et <b>netfilter</b> lubab defineerida reegleid, kuidas käsitletakse võrgupakette.<br />
<br />
<br />
Netfilter koosneb erinevatest ahelast : <br />
INPUT - sissetulevad paketid <br />
OUTPUT - väljuvad paketid <br />
FORWARD - edastatavad paketid <br />
PREROUTING ja POSTROUTING - põhiliselt NAT tegemiseks (kui ei ole piisavalt avalike ip aadresse siis tuleb kasutada NAT-i). <br />
<br />
Siinkohal tooks veel välja, et <b>iptables</b> on vahend netfilter tabelite konfigureerimiseks (reeglitest koosnevad tabelid).<br />
<br />
Alustuseks tuleks luua üldine võrgu skeem ( [http://docs.huihoo.com/shorewall/2.0/images/basics.png Joonis] [http://docs.huihoo.com/shorewall/2.0/images Veel erinevaid lahendusi]). <br />
<br />
Järgnevalt tooksin välja tegevused shorewalli konfiguratsioonifailidega (abiks edaspidistel tegevustel ja tekib parem ettekujutus toimuvast).<br />
<br />
<b> Fail Tegevus </b><br />
Zones Võrgu jagamine tsoonideks <br />
Hosts, Interfaces Defineeritakse tsoonid tulemüüri liideste ja ip aadressitega <br />
Defineeritakse erinevate tsoonide võrguliikluse piirangud<br />
Policy Tsoonide vaheline ligipääs<br />
Rules Määratakse teenuste kaupa ligipääsu reeglid<br />
Määratakse destination NAT (D-NAT) reeglid<br />
Masq Määratakse Source NAT (S-NAT) reeglid<br />
Shorewall.conf Üldise konfiguratsioonifaili määrangud<br />
... Muud piirangud<br />
<br />
<br />
Abistavad käsud võrguliideste määramiseks konfiguratsioonifailides:<br />
<pre>ip route ls </pre> - võrguaadressid<br />
<pre>ifconfig -a</pre> - millised võrguliidesed on sinu arvutis<br />
<pre> route -n</pre> - ruutingutabel<br />
...<br />
Abistavad käsud reeglite määramiseks konfiguratsioonifailides:<br />
<pre>netstat -tnl</pre> - millised tcp teenused<br />
<pre>netstat -unl</pre> - millised udp teenused<br />
<pre>netstat -luntp</pre> - millised teenused töötavad sinu süsteemis<br />
<pre>grep "teenuse nimi" /etc/services</pre> - vaata milline on teenuse port<br />
...<br />
<br />
PS. Kõik käsud on käivitatud root kasutaja õigustes :-|<br />
<br />
=Installeerimine=<br />
<br />
[http://www.shorewall.net/Install.htm Juhend ]<br />
<br />
<pre>yum install shorewall</pre><br />
<br />
Lae alla shorewall 4.4.8 versioon käsurealt (vaata endale teine sobiv versioon ([http://slovakia.shorewall.net/pub/shorewall/ Vaata teine versioon])):<br />
<pre>wget http://slovakia.shorewall.net/pub/shorewall/4.4/shorewall-4.4.8/shorewall-4.4.8-2.noarch.rpm </pre><br />
<br />
Installeeri<br />
<pre>N: rpm -ivh <shorewall-4.4.8-2.noarch.rpm></pre><br />
<br />
Edaspdid siis asenda uuema versiooni rpm faili nimega<br />
<pre>rpm -ivh <shorewall rpm paketi nimi></pre><br />
<br />
TAR installeerimine käsurealt<br />
<pre>wget http://slovakia.shorewall.net/pub/shorewall/4.4/shorewall-4.4.8/shorewall-docs-html-4.4.8.tar.bz2</pre><br />
<br />
<pre>tar -jxf shorewall-x.x.x.tar.bz2</pre><br />
<pre>tar -xzf shorewall_versiooninr.tgz</pre><br />
Mine shorewall kausta (cd shorewallkaus) ja käivita käsk<br />
<pre>./install.sh</pre><br />
<br />
Kopeerime näidis konfiguratsioonifailid /etc/shorewall kausta (Debian)<br />
<pre> cp /usr/share/doc/shorewall/default-config/* /etc/shorewall/ </pre><br />
<br />
=Konfigureerimine=<br />
<br />
Shorewalli olulisemad konfiguratsioonifailid on zones, policy, rules ja shorewall.conf.<br />
Antud referaadi koostamisel lähtud kõige levinumast lahendusest, kus on üks <b>välisvõrgu ja sisevõrgu</b> liides.<br><br />
<br />
[http://www.shorewall.net/shorewall_setup_guide.htm Konfigureerimisest]<br />
<br />
<br><b> Zones (tsoonid) konfiguratsioonifail </b><br><br />
<br />
Ühe tsooni piires kehtivad ühensugused tulemüüri reeglid.<br />
Kõigepealt tuleb konfigureerida erinevad võrgu tsoonid. Kirjeldada tuleb tsoonidele nimed.<br />
Näiteks välisvõrk net (interNET) ja sisevõrk loc (LOCal või private).<br />
<br />
<br />
--- konfiguratsioonifaili sisu ---<br />
#ZONE TYPE OPTIONS IN OUT<br />
# OPTIONS OPTIONS<br />
fw firewall<br />
net ipv4<br />
loc ipv4<br />
<br />
<br><b> Interfaces konfiguratsioonifail</b><br><br />
Võrguliideste defineerimine. Siin määrame milline võrguliides vastab tsoonifailis oleva kirjeldusega. <br />
<br />
--- konfiguratsioonifaili sisu ---<br />
#ZONE INTERFACE BROADCAST OPTIONS<br />
net eth1 193.xxx.xxx.xxx routefilter<br />
loc eth0 172.xxx.xxx.255 dhcp,routeback<br />
<br />
Zone - tsoon mis on defineeritud zones failis.<br />
Interfaces - võrguliidese nimi.<br />
<br />
<br><b> Policy konfiguratsioonifail (General plan of action - tegevusplaan)</b><br><br />
<br />
--- konfiguratsioonifaili sisu ---<br />
#SOURCE DEST POLICY LOG LEVEL LIMIT:BURST<br />
loc net ACCEPT<br />
net all DROP info<br />
all all REJECT info<br />
<br />
<b> Rules (reeglid) konfiguratsioonifail </b><br><br />
Kõige tähtsam konfiguratsioonifail. <br />
Reeglite failis määratakse mis on lubatud ja keelatud. Kõikide uute ühenduste loomisel kontrollitakse tulemüüri reegleid.<br />
[http://www.shorewall.net/manpages/shorewall-rules.html Lisainfo reeglite kasutamisest]<br />
<br />
--- konfiguratsioonifaili sisu ---<br />
#ACTION SOURCE DEST PROTO DEST PORT(S)<br />
Web(DNAT) net loc:10.10.10.2 # lubame veebi (port 80) 10.10.10.2 masinasse<br />
ACCEPT dmz net tcp smtp # lubame smtp<br />
<br />
<br />
<b> shorewall.conf </b><br><br />
<br />
[http://www.shorewall.net/manpages/shorewall.conf.html Konfigureerimisest täpsemalt]<br />
<br />
#STARTUP_ENABLED=No<br />
STARTUP_ENABLED=Yes<br />
<br />
#IPTABLES=<br />
IPTABLES=/sbin/iptables<br />
<br />
#IP_FORWARDING=On<br />
IP_FORWARDING=Off<br />
<br />
<br />
Kui tulemüüri reeglid on paigas võiks proovida teenust käivitada teatud perioodiks, vältimaks ligipääsu probleeme ...<br />
<pre> shorewall try /etc/shorewall 120 </pre> <br />
Shorewall käivitatakse 120 sekundiks.<br />
<br />
=Teenus (start/stop/restart/status)=<br />
<br />
<pre> service shorewall start - teenuse käivitamine </pre><br />
<pre> service shorewall stop - teenuse seiskamine </pre><br />
<pre> service shorewall restart - teenuse taaskäivitamine </pre><br />
<pre> service shorewall status - teenuse oleku kuvamine (iptables reeglid, loodud ja loomisel ühendused, ...) </pre><br />
<br />
<br />
=Probleemid=<br />
<br />
Ära installeeri shorewalli kaughaldusena (muidu lõikad näppu ja ei pääse kaugelt süsteemile ligi).<br />
<br />
Kui shorewalli konfiguratsioonifailides on probleem, siis peaks vaatama logifaili<br />
<pre> less /var/log/shorewall-init.log </pre><br />
<br />
Logimine<br />
<br />
shorewall show log - näitab viimast 20 logitud rida<br />
shorewall logwatch - näitab logi teatud intervalliga<br />
shorewall dump - shorewall probleemide tuvastamiseks <br />
<br />
(erinevad võimalused: add, allow, check, clear, help, forget, hits, ipcalc, iprange, refresh, reject, show, try, )<br />
<br />
=Varundamine=<br />
<br />
Varundada on vaja konfiguratsioonifailid (näiteks asuvad konfiguratsioonifailid /etc/shorewall/ kaustas).<br />
<br />
<pre>ls -la /etc/shorewall/ - kuvatakse kausta shorewall sisu</pre> <br />
<br />
<pre>tar -zcp /etc/shorewall > /root/shorewall_reeglite_varu.tar.gz - pakime konfiguratsioonifailid kokku</pre><br />
<pre>cp -r /etc/shorewall > /root/varundamisekaust/shorewall - kopeerime failid varundamise kausta</pre><br />
<br />
=Eemaldamine=<br />
<br />
<br />
<b> Debian, Fedora, RedHat, Suse, Centos, Ubuntu, ... </b><br><br />
<pre> apt-get remove -purge shorewall </pre><br />
<pre> yum remove shorewall</pre><br />
<br />
RPM<br />
<pre>rpm -e shorewall</pre><br />
<br />
TAR<br />
Mine shorewalli kausta (cd /shorewall/kasuta/asukoht) ja käivita käsk<br />
<pre>./uninstall.sh</pre><br />
<br />
=Kokkuvõte=<br />
<br />
Shorewall tarkvara on lihtne paigaldada ja hallata. Shorewall projektiga tegeletakse aktiivselt edasi ja soovitan huvilistel olla kursis uudistega, mille leiad järgnevalt [http://www.shorewall.net/News.htm lingilt].<br />
<br />
=Kasutatud kirjandus=<br />
* http://www.shorewall.net/<br />
* http://en.wikipedia.org/wiki/Shorewall<br />
* http://en.wikipedia.org/wiki/Netfilter<br />
* http://www.netfilter.org/<br />
* http://www.frozentux.net/documents/iptables-tutorial/<br />
* http://easyfwgen.morizot.net/gen/ - hea tulemüüri reeglite genereerimiseks<br />
<br />
<br />
[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]</div>Rkolgahttps://wiki.itcollege.ee/index.php?title=Shorewall&diff=6888Shorewall2010-04-17T10:46:00Z<p>Rkolga: /* Konfigureerimine */</p>
<hr />
<div><br><br />
<b> Autor: </b> Ragnar Kolga - AK32<br />
<br />
=Sissejuhatus=<br />
<br />
<b> Shorewall (alias Shoreline Firewall)</b> on tarkvaraline vahend netfiltri konfigureerimiseks Linuxis (linux - operatsioonisüsteem linux kernelil).<br />
<b>Netfilter</b> koos kasutajaliidesega iptables on paketifilter. Shorewall konfigureerib Netfiltri, kasutades konfiguratsioonifaile ja seda iptables utiliidi vahendusel. Shorewalli on võimalik kasutada tulemüürina väga erinevatel seadmetel (ruuteritel, serveritel, ...).<br />
<br />
Shorewall teeb lihtsamaks tulemüürireeglite manageerimise. Reeglid defineeritakse tekstifailides ja on lihtsasti muudetavad.<br />
Uuele kasutajale selles valdkonnas on kindlasti lihtsamaid tulemüüri reeglite haldamise vahendeid, millel on olemas ka graafiline liides.<br />
<br />
Alates 4.2 versioonist on toetatud ka IPv6.<br />
<br />
Viimane stabiilne versioon on 4.4.7 (04.2010 seisuga).<br />
Shorewalli tarkvara on saadaval ingliskeelsena. Litsents on GPLv2 ja üks arendajatest on Thomas M.Eastep.<br />
<br />
=Eelinfo=<br />
<br />
Oluline oleks veel teada, et <b>netfilter</b> lubab defineerida reegleid, kuidas käsitletakse võrgupakette.<br />
<br />
<br />
Netfilter koosneb erinevatest ahelast : <br />
INPUT - sissetulevad paketid <br />
OUTPUT - väljuvad paketid <br />
FORWARD - edastatavad paketid <br />
PREROUTING ja POSTROUTING - põhiliselt NAT tegemiseks (kui ei ole piisavalt avalike ip aadresse siis tuleb kasutada NAT-i). <br />
<br />
Siinkohal tooks veel välja, et <b>iptables</b> on vahend netfilter tabelite konfigureerimiseks (reeglitest koosnevad tabelid).<br />
<br />
Alustuseks tuleks luua üldine võrgu skeem ( [http://docs.huihoo.com/shorewall/2.0/images/basics.png Joonis] [http://docs.huihoo.com/shorewall/2.0/images Veel erinevaid lahendusi]). <br />
<br />
Järgnevalt tooksin välja tegevused shorewalli konfiguratsioonifailidega (abiks edaspidistel tegevustel ja tekib parem ettekujutus toimuvast).<br />
<br />
<b> Fail Tegevus </b><br />
Zones Võrgu jagamine tsoonideks <br />
Hosts, Interfaces Defineeritakse tsoonid tulemüüri liideste ja ip aadressitega <br />
Defineeritakse erinevate tsoonide võrguliikluse piirangud<br />
Policy Tsoonide vaheline ligipääs<br />
Rules Määratakse teenuste kaupa ligipääsu reeglid<br />
Määratakse destination NAT (D-NAT) reeglid<br />
Masq Määratakse Source NAT (S-NAT) reeglid<br />
Shorewall.conf Üldise konfiguratsioonifaili määrangud<br />
... Muud piirangud<br />
<br />
<br />
Abistavad käsud võrguliideste määramiseks konfiguratsioonifailides:<br />
<pre>ip route ls </pre> - võrguaadressid<br />
<pre>ifconfig -a</pre> - millised võrguliidesed on sinu arvutis<br />
<pre> route -n</pre> - ruutingutabel<br />
...<br />
Abistavad käsud reeglite määramiseks konfiguratsioonifailides:<br />
<pre>netstat -tnl</pre> - millised tcp teenused<br />
<pre>netstat -unl</pre> - millised udp teenused<br />
<pre>netstat -luntp</pre> - millised teenused töötavad sinu süsteemis<br />
<pre>grep "teenuse nimi" /etc/services</pre> - vaata milline on teenuse port<br />
...<br />
<br />
PS. Kõik käsud on käivitatud root kasutaja õigustes :-|<br />
<br />
=Installeerimine=<br />
<br />
[http://www.shorewall.net/Install.htm Juhend ]<br />
<br />
<pre>yum install shorewall</pre><br />
<br />
Lae alla shorewall 4.4.8 versioon käsurealt (vaata endale teine sobiv versioon ([http://slovakia.shorewall.net/pub/shorewall/ Vaata teine versioon])):<br />
<pre>wget http://slovakia.shorewall.net/pub/shorewall/4.4/shorewall-4.4.8/shorewall-4.4.8-2.noarch.rpm </pre><br />
<br />
Installeeri<br />
<pre>N: rpm -ivh <shorewall-4.4.8-2.noarch.rpm></pre><br />
<br />
Edaspdid siis asenda uuema versiooni rpm faili nimega<br />
<pre>rpm -ivh <shorewall rpm paketi nimi></pre><br />
<br />
TAR installeerimine käsurealt<br />
<pre>wget http://slovakia.shorewall.net/pub/shorewall/4.4/shorewall-4.4.8/shorewall-docs-html-4.4.8.tar.bz2</pre><br />
<br />
<pre>tar -jxf shorewall-x.x.x.tar.bz2</pre><br />
<pre>tar -xzf shorewall_versiooninr.tgz</pre><br />
Mine shorewall kausta (cd shorewallkaus) ja käivita käsk<br />
<pre>./install.sh</pre><br />
<br />
Kopeerime näidis konfiguratsioonifailid /etc/shorewall kausta (Debian)<br />
<pre> cp /usr/share/doc/shorewall/default-config/* /etc/shorewall/ </pre><br />
<br />
=Konfigureerimine=<br />
<br />
Shorewalli olulisemad konfiguratsioonifailid on zones, policy, rules ja shorewall.conf.<br />
Antud referaadi koostamisel lähtud kõige levinumast lahendusest, kus on üks <b>välisvõrgu ja sisevõrgu</b> liides.<br><br />
<br />
[http://www.shorewall.net/shorewall_setup_guide.htm Konfigureerimisest]<br />
<br />
<br><b> Zones (tsoonid) konfiguratsioonifail </b><br><br />
<br />
Ühe tsooni piires kehtivad ühensugused tulemüüri reeglid.<br />
Kõigepealt tuleb konfigureerida erinevad võrgu tsoonid. Kirjeldada tuleb tsoonidele nimed.<br />
Näiteks välisvõrk net (interNET) ja sisevõrk loc (LOCal või private).<br />
<br />
<br />
--- konfiguratsioonifaili sisu ---<br />
#ZONE TYPE OPTIONS IN OUT<br />
# OPTIONS OPTIONS<br />
fw firewall<br />
net ipv4<br />
loc ipv4<br />
<br />
<br><b> Interfaces konfiguratsioonifail</b><br><br />
Võrguliideste defineerimine. Siin määrame milline võrguliides vastab tsoonifailis oleva kirjeldusega. <br />
<br />
--- konfiguratsioonifaili sisu ---<br />
#ZONE INTERFACE BROADCAST OPTIONS<br />
net eth1 193.xxx.xxx.xxx routefilter<br />
loc eth0 172.xxx.xxx.255 dhcp,routeback<br />
<br />
Zone - tsoon mis on defineeritud zones failis.<br />
Interfaces - võrguliidese nimi.<br />
<br />
<br><b> Policy konfiguratsioonifail (General plan of action - tegevusplaan)</b><br><br />
<br />
--- konfiguratsioonifaili sisu ---<br />
#SOURCE DEST POLICY LOG LEVEL LIMIT:BURST<br />
loc net ACCEPT<br />
net all DROP info<br />
all all REJECT info<br />
<br />
<b> Rules (reeglid) konfiguratsioonifail </b><br><br />
Kõige tähtsam konfiguratsioonifail. <br />
Reeglite failis määratakse mis on lubatud ja keelatud. Kõikide uute ühenduste loomisel kontrollitakse tulemüüri reegleid.<br />
[http://www.shorewall.net/manpages/shorewall-rules.html Lisainfo reeglite kasutamisest]<br />
<br />
--- konfiguratsioonifaili sisu ---<br />
#ACTION SOURCE DEST PROTO DEST PORT(S)<br />
Web(DNAT) net loc:10.10.10.2 # lubame veebi (port 80) 10.10.10.2 masinasse<br />
ACCEPT dmz net tcp smtp # lubame smtp<br />
<br />
<br />
<b> shorewall.conf </b><br><br />
<br />
[http://www.shorewall.net/manpages/shorewall.conf.html Konfigureerimisest täpsemalt]<br />
<br />
#STARTUP_ENABLED=No<br />
STARTUP_ENABLED=Yes<br />
<br />
#IPTABLES=<br />
IPTABLES=/sbin/iptables<br />
<br />
#IP_FORWARDING=On<br />
IP_FORWARDING=Off<br />
<br />
<br />
Kui tulemüüri reeglid on paigas võiks proovida teenust käivitada teatud perioodiks, vältimaks ligipääsu probleeme ...<br />
<pre> shorewall try /etc/shorewall 120 </pre> <br />
Shorewall käivitatakse 120 sekundiks.<br />
<br />
=Teenus (start/stop/restart/status)=<br />
<br />
<pre> service shorewall start - teenuse käivitamine </pre><br />
<pre> service shorewall stop - teenuse seiskamine </pre><br />
<pre> service shorewall restart - teenuse taaskäivitamine </pre><br />
<pre> service shorewall status - teenuse oleku kuvamine (iptables reeglid, loodud ja loomisel ühendused, ...) </pre><br />
<br />
<br />
=Probleemid=<br />
<br />
Ära installeeri shorewalli kaughaldusena (muidu lõikad näppu ja ei pääse kaugelt süsteemile ligi).<br />
<br />
Kui shorewalli konfiguratsioonifailides on probleem, siis peaks vaatama logifaili<br />
<pre> less /var/log/shorewall-init.log </pre><br />
<br />
Logimine<br />
<br />
shorewall show log - näitab viimast 20 logitud rida<br />
shorewall logwatch - näitab logi teatud intervalliga<br />
shorewall dump - shorewall probleemide tuvastamiseks <br />
<br />
(erinevad võimalused: add, allow, check, clear, help, forget, hits, ipcalc, iprange, refresh, reject, show, try, )<br />
<br />
=Varundamine=<br />
<br />
Varundada on vaja konfiguratsioonifailid (näiteks asuvad konfiguratsioonifailid /etc/shorewall/ kaustas).<br />
<br />
<pre>ls -la /etc/shorewall/ - kuvatakse kausta shorewall sisu</pre> <br />
<br />
<pre>tar -zcp /etc/shorewall > /root/shorewall_reeglite_varu.tar.gz - pakime konfiguratsioonifailid kokku</pre><br />
<pre>cp -r /etc/shorewall > /root/varundamisekaust/shorewall - kopeerime failid varundamise kausta</pre><br />
<br />
=Eemaldamine=<br />
<b> Debian, Fedora, RedHat, Suse, Centos, Ubuntu, ... </b><br><br />
<pre> apt-get remove -purge shorewall </pre><br />
<pre> yum remove shorewall</pre><br />
<br />
Mine shorewalli kausta (cd /shorewall/kasuta/asukoht) ja käivita käsk<br />
<pre>./uninstall</pre><br />
<br />
=Kokkuvõte=<br />
<br />
Shorewall tarkvara on lihtne paigaldada ja hallata. Shorewall projektiga tegeletakse aktiivselt edasi ja soovitan huvilistel olla kursis uudistega, mille leiad järgnevalt [http://www.shorewall.net/News.htm lingilt].<br />
<br />
=Kasutatud kirjandus=<br />
* http://www.shorewall.net/<br />
* http://en.wikipedia.org/wiki/Shorewall<br />
* http://en.wikipedia.org/wiki/Netfilter<br />
* http://www.netfilter.org/<br />
* http://www.frozentux.net/documents/iptables-tutorial/<br />
* http://easyfwgen.morizot.net/gen/ - hea tulemüüri reeglite genereerimiseks<br />
<br />
<br />
[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]</div>Rkolgahttps://wiki.itcollege.ee/index.php?title=Shorewall&diff=6887Shorewall2010-04-17T10:45:44Z<p>Rkolga: /* Installeerimine */</p>
<hr />
<div><br><br />
<b> Autor: </b> Ragnar Kolga - AK32<br />
<br />
=Sissejuhatus=<br />
<br />
<b> Shorewall (alias Shoreline Firewall)</b> on tarkvaraline vahend netfiltri konfigureerimiseks Linuxis (linux - operatsioonisüsteem linux kernelil).<br />
<b>Netfilter</b> koos kasutajaliidesega iptables on paketifilter. Shorewall konfigureerib Netfiltri, kasutades konfiguratsioonifaile ja seda iptables utiliidi vahendusel. Shorewalli on võimalik kasutada tulemüürina väga erinevatel seadmetel (ruuteritel, serveritel, ...).<br />
<br />
Shorewall teeb lihtsamaks tulemüürireeglite manageerimise. Reeglid defineeritakse tekstifailides ja on lihtsasti muudetavad.<br />
Uuele kasutajale selles valdkonnas on kindlasti lihtsamaid tulemüüri reeglite haldamise vahendeid, millel on olemas ka graafiline liides.<br />
<br />
Alates 4.2 versioonist on toetatud ka IPv6.<br />
<br />
Viimane stabiilne versioon on 4.4.7 (04.2010 seisuga).<br />
Shorewalli tarkvara on saadaval ingliskeelsena. Litsents on GPLv2 ja üks arendajatest on Thomas M.Eastep.<br />
<br />
=Eelinfo=<br />
<br />
Oluline oleks veel teada, et <b>netfilter</b> lubab defineerida reegleid, kuidas käsitletakse võrgupakette.<br />
<br />
<br />
Netfilter koosneb erinevatest ahelast : <br />
INPUT - sissetulevad paketid <br />
OUTPUT - väljuvad paketid <br />
FORWARD - edastatavad paketid <br />
PREROUTING ja POSTROUTING - põhiliselt NAT tegemiseks (kui ei ole piisavalt avalike ip aadresse siis tuleb kasutada NAT-i). <br />
<br />
Siinkohal tooks veel välja, et <b>iptables</b> on vahend netfilter tabelite konfigureerimiseks (reeglitest koosnevad tabelid).<br />
<br />
Alustuseks tuleks luua üldine võrgu skeem ( [http://docs.huihoo.com/shorewall/2.0/images/basics.png Joonis] [http://docs.huihoo.com/shorewall/2.0/images Veel erinevaid lahendusi]). <br />
<br />
Järgnevalt tooksin välja tegevused shorewalli konfiguratsioonifailidega (abiks edaspidistel tegevustel ja tekib parem ettekujutus toimuvast).<br />
<br />
<b> Fail Tegevus </b><br />
Zones Võrgu jagamine tsoonideks <br />
Hosts, Interfaces Defineeritakse tsoonid tulemüüri liideste ja ip aadressitega <br />
Defineeritakse erinevate tsoonide võrguliikluse piirangud<br />
Policy Tsoonide vaheline ligipääs<br />
Rules Määratakse teenuste kaupa ligipääsu reeglid<br />
Määratakse destination NAT (D-NAT) reeglid<br />
Masq Määratakse Source NAT (S-NAT) reeglid<br />
Shorewall.conf Üldise konfiguratsioonifaili määrangud<br />
... Muud piirangud<br />
<br />
<br />
Abistavad käsud võrguliideste määramiseks konfiguratsioonifailides:<br />
<pre>ip route ls </pre> - võrguaadressid<br />
<pre>ifconfig -a</pre> - millised võrguliidesed on sinu arvutis<br />
<pre> route -n</pre> - ruutingutabel<br />
...<br />
Abistavad käsud reeglite määramiseks konfiguratsioonifailides:<br />
<pre>netstat -tnl</pre> - millised tcp teenused<br />
<pre>netstat -unl</pre> - millised udp teenused<br />
<pre>netstat -luntp</pre> - millised teenused töötavad sinu süsteemis<br />
<pre>grep "teenuse nimi" /etc/services</pre> - vaata milline on teenuse port<br />
...<br />
<br />
PS. Kõik käsud on käivitatud root kasutaja õigustes :-|<br />
<br />
=Installeerimine=<br />
<br />
[http://www.shorewall.net/Install.htm Juhend ]<br />
<br />
<pre>yum install shorewall</pre><br />
<br />
Lae alla shorewall 4.4.8 versioon käsurealt (vaata endale teine sobiv versioon ([http://slovakia.shorewall.net/pub/shorewall/ Vaata teine versioon])):<br />
<pre>wget http://slovakia.shorewall.net/pub/shorewall/4.4/shorewall-4.4.8/shorewall-4.4.8-2.noarch.rpm </pre><br />
<br />
Installeeri<br />
<pre>N: rpm -ivh <shorewall-4.4.8-2.noarch.rpm></pre><br />
<br />
Edaspdid siis asenda uuema versiooni rpm faili nimega<br />
<pre>rpm -ivh <shorewall rpm paketi nimi></pre><br />
<br />
TAR installeerimine käsurealt<br />
<pre>wget http://slovakia.shorewall.net/pub/shorewall/4.4/shorewall-4.4.8/shorewall-docs-html-4.4.8.tar.bz2</pre><br />
<br />
<pre>tar -jxf shorewall-x.x.x.tar.bz2</pre><br />
<pre>tar -xzf shorewall_versiooninr.tgz</pre><br />
Mine shorewall kausta (cd shorewallkaus) ja käivita käsk<br />
<pre>./install.sh</pre><br />
<br />
Kopeerime näidis konfiguratsioonifailid /etc/shorewall kausta (Debian)<br />
<pre> cp /usr/share/doc/shorewall/default-config/* /etc/shorewall/ </pre><br />
<br />
=Konfigureerimine=<br />
<br />
Shorewalli olulisemad konfiguratsioonifailid on zones, policy, rules ja shorewall.conf.<br />
Antud referaadi koostamisel lähtud kõige levinumast lahendusest, kus on üks <b>välisvõrgu ja sisevõrgu</b> liides.<br><br />
<br />
[http://www.shorewall.net/shorewall_setup_guide.htm Konfigureerimisest]<br />
<br />
<br><b> Zones (tsoonid) konfiguratsioonifail </b><br><br />
<br />
Ühe tsooni piires kehtivad ühensugused tulemüüri reeglid.<br />
Kõigepealt tuleb konfigureerida erinevad võrgu tsoonid. Kirjeldada tuleb tsoonidele nimed.<br />
Näiteks välisvõrk net (interNET) ja sisevõrk loc (LOCal või private).<br />
<br />
<br />
--- konfiguratsioonifaili sisu ---<br />
#ZONE TYPE OPTIONS IN OUT<br />
# OPTIONS OPTIONS<br />
fw firewall<br />
net ipv4<br />
loc ipv4<br />
<br />
<br><b> Interfaces konfiguratsioonifail</b><br><br />
Võrguliideste defineerimine. Siin määrame milline võrguliides vastab tsoonifailis oleva kirjeldusega. <br />
<br />
--- konfiguratsioonifaili sisu ---<br />
#ZONE INTERFACE BROADCAST OPTIONS<br />
net eth1 193.xxx.xxx.xxx routefilter<br />
loc eth0 172.xxx.xxx.255 dhcp,routeback<br />
<br />
Zone - tsoon mis on defineeritud zones failis.<br />
Interfaces - võrguliidese nimi.<br />
<br />
<br><b> Policy konfiguratsioonifail (General plan of action - tegevusplaan)</b><br><br />
<br />
--- konfiguratsioonifaili sisu ---<br />
#SOURCE DEST POLICY LOG LEVEL LIMIT:BURST<br />
loc net ACCEPT<br />
net all DROP info<br />
all all REJECT info<br />
<br />
<b> Rules (reeglid) konfiguratsioonifail </b><br><br />
Kõige tähtsam konfiguratsioonifail. <br />
Reeglite failis määratakse mis on lubatud ja keelatud. Kõikide uute ühenduste loomisel kontrollitakse tulemüüri reegleid.<br />
[http://www.shorewall.net/manpages/shorewall-rules.html Lisainfo reeglite kasutamisest]<br />
<br />
--- konfiguratsioonifaili sisu ---<br />
#ACTION SOURCE DEST PROTO DEST PORT(S)<br />
Web(DNAT) net loc:10.10.10.2 # lubame veebi (port 80) 10.10.10.2 masinasse<br />
ACCEPT dmz net tcp smtp # lubame smtp<br />
<br />
<br />
<b> shorewall.conf </b><br><br />
<br />
[http://www.shorewall.net/manpages/shorewall.conf.html Konfigureerimisest täpsemalt]<br />
<br />
#STARTUP_ENABLED=No<br />
STARTUP_ENABLED=Yes<br />
<br />
#IPTABLES=<br />
IPTABLES=/sbin/iptables<br />
<br />
#IP_FORWARDING=On<br />
IP_FORWARDING=Off<br />
<br />
<br />
<br />
<br />
<br />
Kui tulemüüri reeglid on paigas võiks proovida teenust käivitada teatud perioodiks, vältimaks ligipääsu probleeme ...<br />
<pre> shorewall try /etc/shorewall 120 </pre> <br />
Shorewall käivitatakse 120 sekundiks.<br />
<br />
=Teenus (start/stop/restart/status)=<br />
<br />
<pre> service shorewall start - teenuse käivitamine </pre><br />
<pre> service shorewall stop - teenuse seiskamine </pre><br />
<pre> service shorewall restart - teenuse taaskäivitamine </pre><br />
<pre> service shorewall status - teenuse oleku kuvamine (iptables reeglid, loodud ja loomisel ühendused, ...) </pre><br />
<br />
<br />
=Probleemid=<br />
<br />
Ära installeeri shorewalli kaughaldusena (muidu lõikad näppu ja ei pääse kaugelt süsteemile ligi).<br />
<br />
Kui shorewalli konfiguratsioonifailides on probleem, siis peaks vaatama logifaili<br />
<pre> less /var/log/shorewall-init.log </pre><br />
<br />
Logimine<br />
<br />
shorewall show log - näitab viimast 20 logitud rida<br />
shorewall logwatch - näitab logi teatud intervalliga<br />
shorewall dump - shorewall probleemide tuvastamiseks <br />
<br />
(erinevad võimalused: add, allow, check, clear, help, forget, hits, ipcalc, iprange, refresh, reject, show, try, )<br />
<br />
=Varundamine=<br />
<br />
Varundada on vaja konfiguratsioonifailid (näiteks asuvad konfiguratsioonifailid /etc/shorewall/ kaustas).<br />
<br />
<pre>ls -la /etc/shorewall/ - kuvatakse kausta shorewall sisu</pre> <br />
<br />
<pre>tar -zcp /etc/shorewall > /root/shorewall_reeglite_varu.tar.gz - pakime konfiguratsioonifailid kokku</pre><br />
<pre>cp -r /etc/shorewall > /root/varundamisekaust/shorewall - kopeerime failid varundamise kausta</pre><br />
<br />
=Eemaldamine=<br />
<b> Debian, Fedora, RedHat, Suse, Centos, Ubuntu, ... </b><br><br />
<pre> apt-get remove -purge shorewall </pre><br />
<pre> yum remove shorewall</pre><br />
<br />
Mine shorewalli kausta (cd /shorewall/kasuta/asukoht) ja käivita käsk<br />
<pre>./uninstall</pre><br />
<br />
=Kokkuvõte=<br />
<br />
Shorewall tarkvara on lihtne paigaldada ja hallata. Shorewall projektiga tegeletakse aktiivselt edasi ja soovitan huvilistel olla kursis uudistega, mille leiad järgnevalt [http://www.shorewall.net/News.htm lingilt].<br />
<br />
=Kasutatud kirjandus=<br />
* http://www.shorewall.net/<br />
* http://en.wikipedia.org/wiki/Shorewall<br />
* http://en.wikipedia.org/wiki/Netfilter<br />
* http://www.netfilter.org/<br />
* http://www.frozentux.net/documents/iptables-tutorial/<br />
* http://easyfwgen.morizot.net/gen/ - hea tulemüüri reeglite genereerimiseks<br />
<br />
<br />
[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]</div>Rkolgahttps://wiki.itcollege.ee/index.php?title=Shorewall&diff=6886Shorewall2010-04-17T10:44:59Z<p>Rkolga: /* Eemaldamine */</p>
<hr />
<div><br><br />
<b> Autor: </b> Ragnar Kolga - AK32<br />
<br />
=Sissejuhatus=<br />
<br />
<b> Shorewall (alias Shoreline Firewall)</b> on tarkvaraline vahend netfiltri konfigureerimiseks Linuxis (linux - operatsioonisüsteem linux kernelil).<br />
<b>Netfilter</b> koos kasutajaliidesega iptables on paketifilter. Shorewall konfigureerib Netfiltri, kasutades konfiguratsioonifaile ja seda iptables utiliidi vahendusel. Shorewalli on võimalik kasutada tulemüürina väga erinevatel seadmetel (ruuteritel, serveritel, ...).<br />
<br />
Shorewall teeb lihtsamaks tulemüürireeglite manageerimise. Reeglid defineeritakse tekstifailides ja on lihtsasti muudetavad.<br />
Uuele kasutajale selles valdkonnas on kindlasti lihtsamaid tulemüüri reeglite haldamise vahendeid, millel on olemas ka graafiline liides.<br />
<br />
Alates 4.2 versioonist on toetatud ka IPv6.<br />
<br />
Viimane stabiilne versioon on 4.4.7 (04.2010 seisuga).<br />
Shorewalli tarkvara on saadaval ingliskeelsena. Litsents on GPLv2 ja üks arendajatest on Thomas M.Eastep.<br />
<br />
=Eelinfo=<br />
<br />
Oluline oleks veel teada, et <b>netfilter</b> lubab defineerida reegleid, kuidas käsitletakse võrgupakette.<br />
<br />
<br />
Netfilter koosneb erinevatest ahelast : <br />
INPUT - sissetulevad paketid <br />
OUTPUT - väljuvad paketid <br />
FORWARD - edastatavad paketid <br />
PREROUTING ja POSTROUTING - põhiliselt NAT tegemiseks (kui ei ole piisavalt avalike ip aadresse siis tuleb kasutada NAT-i). <br />
<br />
Siinkohal tooks veel välja, et <b>iptables</b> on vahend netfilter tabelite konfigureerimiseks (reeglitest koosnevad tabelid).<br />
<br />
Alustuseks tuleks luua üldine võrgu skeem ( [http://docs.huihoo.com/shorewall/2.0/images/basics.png Joonis] [http://docs.huihoo.com/shorewall/2.0/images Veel erinevaid lahendusi]). <br />
<br />
Järgnevalt tooksin välja tegevused shorewalli konfiguratsioonifailidega (abiks edaspidistel tegevustel ja tekib parem ettekujutus toimuvast).<br />
<br />
<b> Fail Tegevus </b><br />
Zones Võrgu jagamine tsoonideks <br />
Hosts, Interfaces Defineeritakse tsoonid tulemüüri liideste ja ip aadressitega <br />
Defineeritakse erinevate tsoonide võrguliikluse piirangud<br />
Policy Tsoonide vaheline ligipääs<br />
Rules Määratakse teenuste kaupa ligipääsu reeglid<br />
Määratakse destination NAT (D-NAT) reeglid<br />
Masq Määratakse Source NAT (S-NAT) reeglid<br />
Shorewall.conf Üldise konfiguratsioonifaili määrangud<br />
... Muud piirangud<br />
<br />
<br />
Abistavad käsud võrguliideste määramiseks konfiguratsioonifailides:<br />
<pre>ip route ls </pre> - võrguaadressid<br />
<pre>ifconfig -a</pre> - millised võrguliidesed on sinu arvutis<br />
<pre> route -n</pre> - ruutingutabel<br />
...<br />
Abistavad käsud reeglite määramiseks konfiguratsioonifailides:<br />
<pre>netstat -tnl</pre> - millised tcp teenused<br />
<pre>netstat -unl</pre> - millised udp teenused<br />
<pre>netstat -luntp</pre> - millised teenused töötavad sinu süsteemis<br />
<pre>grep "teenuse nimi" /etc/services</pre> - vaata milline on teenuse port<br />
...<br />
<br />
PS. Kõik käsud on käivitatud root kasutaja õigustes :-|<br />
<br />
=Installeerimine=<br />
<br />
[http://www.shorewall.net/Install.htm Juhend ]<br />
<br />
<pre>yum install shorewall</pre><br />
<br />
Lae alla shorewall 4.4.8 versioon käsurealt (vaata endale teine sobiv versioon ([http://slovakia.shorewall.net/pub/shorewall/ Vaata teine versioon])):<br />
<pre>wget http://slovakia.shorewall.net/pub/shorewall/4.4/shorewall-4.4.8/shorewall-4.4.8-2.noarch.rpm </pre><br />
<br />
Installeeri<br />
<pre>N: rpm -ivh <shorewall-4.4.8-2.noarch.rpm></pre><br />
<br />
Edaspdid siis asenda uuema versiooni rpm faili nimega<br />
<pre>rpm -ivh <shorewall rpm paketi nimi></pre><br />
<br />
TAR installeerimine käsurealt<br />
<pre>wget http://slovakia.shorewall.net/pub/shorewall/4.4/shorewall-4.4.8/shorewall-docs-html-4.4.8.tar.bz2</pre><br />
<br />
<pre>tar -jxf shorewall-x.x.x.tar.bz2</pre><br />
<pre>tar -xzf shorewall_versiooninr.tgz</pre><br />
<br />
Kopeerime näidis konfiguratsioonifailid /etc/shorewall kausta (Debian)<br />
<pre> cp /usr/share/doc/shorewall/default-config/* /etc/shorewall/ </pre><br />
<br />
=Konfigureerimine=<br />
<br />
Shorewalli olulisemad konfiguratsioonifailid on zones, policy, rules ja shorewall.conf.<br />
Antud referaadi koostamisel lähtud kõige levinumast lahendusest, kus on üks <b>välisvõrgu ja sisevõrgu</b> liides.<br><br />
<br />
[http://www.shorewall.net/shorewall_setup_guide.htm Konfigureerimisest]<br />
<br />
<br><b> Zones (tsoonid) konfiguratsioonifail </b><br><br />
<br />
Ühe tsooni piires kehtivad ühensugused tulemüüri reeglid.<br />
Kõigepealt tuleb konfigureerida erinevad võrgu tsoonid. Kirjeldada tuleb tsoonidele nimed.<br />
Näiteks välisvõrk net (interNET) ja sisevõrk loc (LOCal või private).<br />
<br />
<br />
--- konfiguratsioonifaili sisu ---<br />
#ZONE TYPE OPTIONS IN OUT<br />
# OPTIONS OPTIONS<br />
fw firewall<br />
net ipv4<br />
loc ipv4<br />
<br />
<br><b> Interfaces konfiguratsioonifail</b><br><br />
Võrguliideste defineerimine. Siin määrame milline võrguliides vastab tsoonifailis oleva kirjeldusega. <br />
<br />
--- konfiguratsioonifaili sisu ---<br />
#ZONE INTERFACE BROADCAST OPTIONS<br />
net eth1 193.xxx.xxx.xxx routefilter<br />
loc eth0 172.xxx.xxx.255 dhcp,routeback<br />
<br />
Zone - tsoon mis on defineeritud zones failis.<br />
Interfaces - võrguliidese nimi.<br />
<br />
<br><b> Policy konfiguratsioonifail (General plan of action - tegevusplaan)</b><br><br />
<br />
--- konfiguratsioonifaili sisu ---<br />
#SOURCE DEST POLICY LOG LEVEL LIMIT:BURST<br />
loc net ACCEPT<br />
net all DROP info<br />
all all REJECT info<br />
<br />
<b> Rules (reeglid) konfiguratsioonifail </b><br><br />
Kõige tähtsam konfiguratsioonifail. <br />
Reeglite failis määratakse mis on lubatud ja keelatud. Kõikide uute ühenduste loomisel kontrollitakse tulemüüri reegleid.<br />
[http://www.shorewall.net/manpages/shorewall-rules.html Lisainfo reeglite kasutamisest]<br />
<br />
--- konfiguratsioonifaili sisu ---<br />
#ACTION SOURCE DEST PROTO DEST PORT(S)<br />
Web(DNAT) net loc:10.10.10.2 # lubame veebi (port 80) 10.10.10.2 masinasse<br />
ACCEPT dmz net tcp smtp # lubame smtp<br />
<br />
<br />
<b> shorewall.conf </b><br><br />
<br />
[http://www.shorewall.net/manpages/shorewall.conf.html Konfigureerimisest täpsemalt]<br />
<br />
#STARTUP_ENABLED=No<br />
STARTUP_ENABLED=Yes<br />
<br />
#IPTABLES=<br />
IPTABLES=/sbin/iptables<br />
<br />
#IP_FORWARDING=On<br />
IP_FORWARDING=Off<br />
<br />
<br />
<br />
<br />
<br />
Kui tulemüüri reeglid on paigas võiks proovida teenust käivitada teatud perioodiks, vältimaks ligipääsu probleeme ...<br />
<pre> shorewall try /etc/shorewall 120 </pre> <br />
Shorewall käivitatakse 120 sekundiks.<br />
<br />
=Teenus (start/stop/restart/status)=<br />
<br />
<pre> service shorewall start - teenuse käivitamine </pre><br />
<pre> service shorewall stop - teenuse seiskamine </pre><br />
<pre> service shorewall restart - teenuse taaskäivitamine </pre><br />
<pre> service shorewall status - teenuse oleku kuvamine (iptables reeglid, loodud ja loomisel ühendused, ...) </pre><br />
<br />
<br />
=Probleemid=<br />
<br />
Ära installeeri shorewalli kaughaldusena (muidu lõikad näppu ja ei pääse kaugelt süsteemile ligi).<br />
<br />
Kui shorewalli konfiguratsioonifailides on probleem, siis peaks vaatama logifaili<br />
<pre> less /var/log/shorewall-init.log </pre><br />
<br />
Logimine<br />
<br />
shorewall show log - näitab viimast 20 logitud rida<br />
shorewall logwatch - näitab logi teatud intervalliga<br />
shorewall dump - shorewall probleemide tuvastamiseks <br />
<br />
(erinevad võimalused: add, allow, check, clear, help, forget, hits, ipcalc, iprange, refresh, reject, show, try, )<br />
<br />
=Varundamine=<br />
<br />
Varundada on vaja konfiguratsioonifailid (näiteks asuvad konfiguratsioonifailid /etc/shorewall/ kaustas).<br />
<br />
<pre>ls -la /etc/shorewall/ - kuvatakse kausta shorewall sisu</pre> <br />
<br />
<pre>tar -zcp /etc/shorewall > /root/shorewall_reeglite_varu.tar.gz - pakime konfiguratsioonifailid kokku</pre><br />
<pre>cp -r /etc/shorewall > /root/varundamisekaust/shorewall - kopeerime failid varundamise kausta</pre><br />
<br />
=Eemaldamine=<br />
<b> Debian, Fedora, RedHat, Suse, Centos, Ubuntu, ... </b><br><br />
<pre> apt-get remove -purge shorewall </pre><br />
<pre> yum remove shorewall</pre><br />
<br />
Mine shorewalli kausta (cd /shorewall/kasuta/asukoht) ja käivita käsk<br />
<pre>./uninstall</pre><br />
<br />
=Kokkuvõte=<br />
<br />
Shorewall tarkvara on lihtne paigaldada ja hallata. Shorewall projektiga tegeletakse aktiivselt edasi ja soovitan huvilistel olla kursis uudistega, mille leiad järgnevalt [http://www.shorewall.net/News.htm lingilt].<br />
<br />
=Kasutatud kirjandus=<br />
* http://www.shorewall.net/<br />
* http://en.wikipedia.org/wiki/Shorewall<br />
* http://en.wikipedia.org/wiki/Netfilter<br />
* http://www.netfilter.org/<br />
* http://www.frozentux.net/documents/iptables-tutorial/<br />
* http://easyfwgen.morizot.net/gen/ - hea tulemüüri reeglite genereerimiseks<br />
<br />
<br />
[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]</div>Rkolgahttps://wiki.itcollege.ee/index.php?title=Shorewall&diff=6885Shorewall2010-04-17T10:42:15Z<p>Rkolga: /* Installeerimine */</p>
<hr />
<div><br><br />
<b> Autor: </b> Ragnar Kolga - AK32<br />
<br />
=Sissejuhatus=<br />
<br />
<b> Shorewall (alias Shoreline Firewall)</b> on tarkvaraline vahend netfiltri konfigureerimiseks Linuxis (linux - operatsioonisüsteem linux kernelil).<br />
<b>Netfilter</b> koos kasutajaliidesega iptables on paketifilter. Shorewall konfigureerib Netfiltri, kasutades konfiguratsioonifaile ja seda iptables utiliidi vahendusel. Shorewalli on võimalik kasutada tulemüürina väga erinevatel seadmetel (ruuteritel, serveritel, ...).<br />
<br />
Shorewall teeb lihtsamaks tulemüürireeglite manageerimise. Reeglid defineeritakse tekstifailides ja on lihtsasti muudetavad.<br />
Uuele kasutajale selles valdkonnas on kindlasti lihtsamaid tulemüüri reeglite haldamise vahendeid, millel on olemas ka graafiline liides.<br />
<br />
Alates 4.2 versioonist on toetatud ka IPv6.<br />
<br />
Viimane stabiilne versioon on 4.4.7 (04.2010 seisuga).<br />
Shorewalli tarkvara on saadaval ingliskeelsena. Litsents on GPLv2 ja üks arendajatest on Thomas M.Eastep.<br />
<br />
=Eelinfo=<br />
<br />
Oluline oleks veel teada, et <b>netfilter</b> lubab defineerida reegleid, kuidas käsitletakse võrgupakette.<br />
<br />
<br />
Netfilter koosneb erinevatest ahelast : <br />
INPUT - sissetulevad paketid <br />
OUTPUT - väljuvad paketid <br />
FORWARD - edastatavad paketid <br />
PREROUTING ja POSTROUTING - põhiliselt NAT tegemiseks (kui ei ole piisavalt avalike ip aadresse siis tuleb kasutada NAT-i). <br />
<br />
Siinkohal tooks veel välja, et <b>iptables</b> on vahend netfilter tabelite konfigureerimiseks (reeglitest koosnevad tabelid).<br />
<br />
Alustuseks tuleks luua üldine võrgu skeem ( [http://docs.huihoo.com/shorewall/2.0/images/basics.png Joonis] [http://docs.huihoo.com/shorewall/2.0/images Veel erinevaid lahendusi]). <br />
<br />
Järgnevalt tooksin välja tegevused shorewalli konfiguratsioonifailidega (abiks edaspidistel tegevustel ja tekib parem ettekujutus toimuvast).<br />
<br />
<b> Fail Tegevus </b><br />
Zones Võrgu jagamine tsoonideks <br />
Hosts, Interfaces Defineeritakse tsoonid tulemüüri liideste ja ip aadressitega <br />
Defineeritakse erinevate tsoonide võrguliikluse piirangud<br />
Policy Tsoonide vaheline ligipääs<br />
Rules Määratakse teenuste kaupa ligipääsu reeglid<br />
Määratakse destination NAT (D-NAT) reeglid<br />
Masq Määratakse Source NAT (S-NAT) reeglid<br />
Shorewall.conf Üldise konfiguratsioonifaili määrangud<br />
... Muud piirangud<br />
<br />
<br />
Abistavad käsud võrguliideste määramiseks konfiguratsioonifailides:<br />
<pre>ip route ls </pre> - võrguaadressid<br />
<pre>ifconfig -a</pre> - millised võrguliidesed on sinu arvutis<br />
<pre> route -n</pre> - ruutingutabel<br />
...<br />
Abistavad käsud reeglite määramiseks konfiguratsioonifailides:<br />
<pre>netstat -tnl</pre> - millised tcp teenused<br />
<pre>netstat -unl</pre> - millised udp teenused<br />
<pre>netstat -luntp</pre> - millised teenused töötavad sinu süsteemis<br />
<pre>grep "teenuse nimi" /etc/services</pre> - vaata milline on teenuse port<br />
...<br />
<br />
PS. Kõik käsud on käivitatud root kasutaja õigustes :-|<br />
<br />
=Installeerimine=<br />
<br />
[http://www.shorewall.net/Install.htm Juhend ]<br />
<br />
<pre>yum install shorewall</pre><br />
<br />
Lae alla shorewall 4.4.8 versioon käsurealt (vaata endale teine sobiv versioon ([http://slovakia.shorewall.net/pub/shorewall/ Vaata teine versioon])):<br />
<pre>wget http://slovakia.shorewall.net/pub/shorewall/4.4/shorewall-4.4.8/shorewall-4.4.8-2.noarch.rpm </pre><br />
<br />
Installeeri<br />
<pre>N: rpm -ivh <shorewall-4.4.8-2.noarch.rpm></pre><br />
<br />
Edaspdid siis asenda uuema versiooni rpm faili nimega<br />
<pre>rpm -ivh <shorewall rpm paketi nimi></pre><br />
<br />
TAR installeerimine käsurealt<br />
<pre>wget http://slovakia.shorewall.net/pub/shorewall/4.4/shorewall-4.4.8/shorewall-docs-html-4.4.8.tar.bz2</pre><br />
<br />
<pre>tar -jxf shorewall-x.x.x.tar.bz2</pre><br />
<pre>tar -xzf shorewall_versiooninr.tgz</pre><br />
<br />
Kopeerime näidis konfiguratsioonifailid /etc/shorewall kausta (Debian)<br />
<pre> cp /usr/share/doc/shorewall/default-config/* /etc/shorewall/ </pre><br />
<br />
=Konfigureerimine=<br />
<br />
Shorewalli olulisemad konfiguratsioonifailid on zones, policy, rules ja shorewall.conf.<br />
Antud referaadi koostamisel lähtud kõige levinumast lahendusest, kus on üks <b>välisvõrgu ja sisevõrgu</b> liides.<br><br />
<br />
[http://www.shorewall.net/shorewall_setup_guide.htm Konfigureerimisest]<br />
<br />
<br><b> Zones (tsoonid) konfiguratsioonifail </b><br><br />
<br />
Ühe tsooni piires kehtivad ühensugused tulemüüri reeglid.<br />
Kõigepealt tuleb konfigureerida erinevad võrgu tsoonid. Kirjeldada tuleb tsoonidele nimed.<br />
Näiteks välisvõrk net (interNET) ja sisevõrk loc (LOCal või private).<br />
<br />
<br />
--- konfiguratsioonifaili sisu ---<br />
#ZONE TYPE OPTIONS IN OUT<br />
# OPTIONS OPTIONS<br />
fw firewall<br />
net ipv4<br />
loc ipv4<br />
<br />
<br><b> Interfaces konfiguratsioonifail</b><br><br />
Võrguliideste defineerimine. Siin määrame milline võrguliides vastab tsoonifailis oleva kirjeldusega. <br />
<br />
--- konfiguratsioonifaili sisu ---<br />
#ZONE INTERFACE BROADCAST OPTIONS<br />
net eth1 193.xxx.xxx.xxx routefilter<br />
loc eth0 172.xxx.xxx.255 dhcp,routeback<br />
<br />
Zone - tsoon mis on defineeritud zones failis.<br />
Interfaces - võrguliidese nimi.<br />
<br />
<br><b> Policy konfiguratsioonifail (General plan of action - tegevusplaan)</b><br><br />
<br />
--- konfiguratsioonifaili sisu ---<br />
#SOURCE DEST POLICY LOG LEVEL LIMIT:BURST<br />
loc net ACCEPT<br />
net all DROP info<br />
all all REJECT info<br />
<br />
<b> Rules (reeglid) konfiguratsioonifail </b><br><br />
Kõige tähtsam konfiguratsioonifail. <br />
Reeglite failis määratakse mis on lubatud ja keelatud. Kõikide uute ühenduste loomisel kontrollitakse tulemüüri reegleid.<br />
[http://www.shorewall.net/manpages/shorewall-rules.html Lisainfo reeglite kasutamisest]<br />
<br />
--- konfiguratsioonifaili sisu ---<br />
#ACTION SOURCE DEST PROTO DEST PORT(S)<br />
Web(DNAT) net loc:10.10.10.2 # lubame veebi (port 80) 10.10.10.2 masinasse<br />
ACCEPT dmz net tcp smtp # lubame smtp<br />
<br />
<br />
<b> shorewall.conf </b><br><br />
<br />
[http://www.shorewall.net/manpages/shorewall.conf.html Konfigureerimisest täpsemalt]<br />
<br />
#STARTUP_ENABLED=No<br />
STARTUP_ENABLED=Yes<br />
<br />
#IPTABLES=<br />
IPTABLES=/sbin/iptables<br />
<br />
#IP_FORWARDING=On<br />
IP_FORWARDING=Off<br />
<br />
<br />
<br />
<br />
<br />
Kui tulemüüri reeglid on paigas võiks proovida teenust käivitada teatud perioodiks, vältimaks ligipääsu probleeme ...<br />
<pre> shorewall try /etc/shorewall 120 </pre> <br />
Shorewall käivitatakse 120 sekundiks.<br />
<br />
=Teenus (start/stop/restart/status)=<br />
<br />
<pre> service shorewall start - teenuse käivitamine </pre><br />
<pre> service shorewall stop - teenuse seiskamine </pre><br />
<pre> service shorewall restart - teenuse taaskäivitamine </pre><br />
<pre> service shorewall status - teenuse oleku kuvamine (iptables reeglid, loodud ja loomisel ühendused, ...) </pre><br />
<br />
<br />
=Probleemid=<br />
<br />
Ära installeeri shorewalli kaughaldusena (muidu lõikad näppu ja ei pääse kaugelt süsteemile ligi).<br />
<br />
Kui shorewalli konfiguratsioonifailides on probleem, siis peaks vaatama logifaili<br />
<pre> less /var/log/shorewall-init.log </pre><br />
<br />
Logimine<br />
<br />
shorewall show log - näitab viimast 20 logitud rida<br />
shorewall logwatch - näitab logi teatud intervalliga<br />
shorewall dump - shorewall probleemide tuvastamiseks <br />
<br />
(erinevad võimalused: add, allow, check, clear, help, forget, hits, ipcalc, iprange, refresh, reject, show, try, )<br />
<br />
=Varundamine=<br />
<br />
Varundada on vaja konfiguratsioonifailid (näiteks asuvad konfiguratsioonifailid /etc/shorewall/ kaustas).<br />
<br />
<pre>ls -la /etc/shorewall/ - kuvatakse kausta shorewall sisu</pre> <br />
<br />
<pre>tar -zcp /etc/shorewall > /root/shorewall_reeglite_varu.tar.gz - pakime konfiguratsioonifailid kokku</pre><br />
<pre>cp -r /etc/shorewall > /root/varundamisekaust/shorewall - kopeerime failid varundamise kausta</pre><br />
<br />
=Eemaldamine=<br />
<b> Debian, Fedora, RedHat, Suse, Centos, Ubuntu, ... </b><br><br />
<pre> apt-get remove -purge shorewall </pre><br />
<br />
<pre> yum remove shorewall</pre><br />
<br />
=Kokkuvõte=<br />
<br />
Shorewall tarkvara on lihtne paigaldada ja hallata. Shorewall projektiga tegeletakse aktiivselt edasi ja soovitan huvilistel olla kursis uudistega, mille leiad järgnevalt [http://www.shorewall.net/News.htm lingilt].<br />
<br />
=Kasutatud kirjandus=<br />
* http://www.shorewall.net/<br />
* http://en.wikipedia.org/wiki/Shorewall<br />
* http://en.wikipedia.org/wiki/Netfilter<br />
* http://www.netfilter.org/<br />
* http://www.frozentux.net/documents/iptables-tutorial/<br />
* http://easyfwgen.morizot.net/gen/ - hea tulemüüri reeglite genereerimiseks<br />
<br />
<br />
[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]</div>Rkolgahttps://wiki.itcollege.ee/index.php?title=Shorewall&diff=6884Shorewall2010-04-17T10:40:38Z<p>Rkolga: /* Konfigureerimine */</p>
<hr />
<div><br><br />
<b> Autor: </b> Ragnar Kolga - AK32<br />
<br />
=Sissejuhatus=<br />
<br />
<b> Shorewall (alias Shoreline Firewall)</b> on tarkvaraline vahend netfiltri konfigureerimiseks Linuxis (linux - operatsioonisüsteem linux kernelil).<br />
<b>Netfilter</b> koos kasutajaliidesega iptables on paketifilter. Shorewall konfigureerib Netfiltri, kasutades konfiguratsioonifaile ja seda iptables utiliidi vahendusel. Shorewalli on võimalik kasutada tulemüürina väga erinevatel seadmetel (ruuteritel, serveritel, ...).<br />
<br />
Shorewall teeb lihtsamaks tulemüürireeglite manageerimise. Reeglid defineeritakse tekstifailides ja on lihtsasti muudetavad.<br />
Uuele kasutajale selles valdkonnas on kindlasti lihtsamaid tulemüüri reeglite haldamise vahendeid, millel on olemas ka graafiline liides.<br />
<br />
Alates 4.2 versioonist on toetatud ka IPv6.<br />
<br />
Viimane stabiilne versioon on 4.4.7 (04.2010 seisuga).<br />
Shorewalli tarkvara on saadaval ingliskeelsena. Litsents on GPLv2 ja üks arendajatest on Thomas M.Eastep.<br />
<br />
=Eelinfo=<br />
<br />
Oluline oleks veel teada, et <b>netfilter</b> lubab defineerida reegleid, kuidas käsitletakse võrgupakette.<br />
<br />
<br />
Netfilter koosneb erinevatest ahelast : <br />
INPUT - sissetulevad paketid <br />
OUTPUT - väljuvad paketid <br />
FORWARD - edastatavad paketid <br />
PREROUTING ja POSTROUTING - põhiliselt NAT tegemiseks (kui ei ole piisavalt avalike ip aadresse siis tuleb kasutada NAT-i). <br />
<br />
Siinkohal tooks veel välja, et <b>iptables</b> on vahend netfilter tabelite konfigureerimiseks (reeglitest koosnevad tabelid).<br />
<br />
Alustuseks tuleks luua üldine võrgu skeem ( [http://docs.huihoo.com/shorewall/2.0/images/basics.png Joonis] [http://docs.huihoo.com/shorewall/2.0/images Veel erinevaid lahendusi]). <br />
<br />
Järgnevalt tooksin välja tegevused shorewalli konfiguratsioonifailidega (abiks edaspidistel tegevustel ja tekib parem ettekujutus toimuvast).<br />
<br />
<b> Fail Tegevus </b><br />
Zones Võrgu jagamine tsoonideks <br />
Hosts, Interfaces Defineeritakse tsoonid tulemüüri liideste ja ip aadressitega <br />
Defineeritakse erinevate tsoonide võrguliikluse piirangud<br />
Policy Tsoonide vaheline ligipääs<br />
Rules Määratakse teenuste kaupa ligipääsu reeglid<br />
Määratakse destination NAT (D-NAT) reeglid<br />
Masq Määratakse Source NAT (S-NAT) reeglid<br />
Shorewall.conf Üldise konfiguratsioonifaili määrangud<br />
... Muud piirangud<br />
<br />
<br />
Abistavad käsud võrguliideste määramiseks konfiguratsioonifailides:<br />
<pre>ip route ls </pre> - võrguaadressid<br />
<pre>ifconfig -a</pre> - millised võrguliidesed on sinu arvutis<br />
<pre> route -n</pre> - ruutingutabel<br />
...<br />
Abistavad käsud reeglite määramiseks konfiguratsioonifailides:<br />
<pre>netstat -tnl</pre> - millised tcp teenused<br />
<pre>netstat -unl</pre> - millised udp teenused<br />
<pre>netstat -luntp</pre> - millised teenused töötavad sinu süsteemis<br />
<pre>grep "teenuse nimi" /etc/services</pre> - vaata milline on teenuse port<br />
...<br />
<br />
PS. Kõik käsud on käivitatud root kasutaja õigustes :-|<br />
<br />
=Installeerimine=<br />
<br />
[http://www.shorewall.net/Install.htm Juhend ]<br />
<br />
Lae alla shorewall 4.4.8 versioon käsurealt (vaata endale teine sobiv versioon ([http://slovakia.shorewall.net/pub/shorewall/ Vaata teine versioon])):<br />
<pre>wget http://slovakia.shorewall.net/pub/shorewall/4.4/shorewall-4.4.8/shorewall-4.4.8-2.noarch.rpm </pre><br />
<br />
Installeeri<br />
<pre>N: rpm -ivh <shorewall-4.4.8-2.noarch.rpm></pre><br />
<br />
Edaspdid siis asenda uuema versiooni rpm faili nimega<br />
<pre>rpm -ivh <shorewall rpm paketi nimi></pre><br />
<br />
TAR installeerimine käsurealt<br />
<pre>wget http://slovakia.shorewall.net/pub/shorewall/4.4/shorewall-4.4.8/shorewall-docs-html-4.4.8.tar.bz2</pre><br />
<br />
<pre>tar -jxf shorewall-x.x.x.tar.bz2</pre><br />
<pre>tar -xzf shorewall_versiooninr.tgz</pre><br />
<br />
Kopeerime näidis konfiguratsioonifailid /etc/shorewall kausta (Debian)<br />
<pre> cp /usr/share/doc/shorewall/default-config/* /etc/shorewall/ </pre><br />
<br />
=Konfigureerimine=<br />
<br />
Shorewalli olulisemad konfiguratsioonifailid on zones, policy, rules ja shorewall.conf.<br />
Antud referaadi koostamisel lähtud kõige levinumast lahendusest, kus on üks <b>välisvõrgu ja sisevõrgu</b> liides.<br><br />
<br />
[http://www.shorewall.net/shorewall_setup_guide.htm Konfigureerimisest]<br />
<br />
<br><b> Zones (tsoonid) konfiguratsioonifail </b><br><br />
<br />
Ühe tsooni piires kehtivad ühensugused tulemüüri reeglid.<br />
Kõigepealt tuleb konfigureerida erinevad võrgu tsoonid. Kirjeldada tuleb tsoonidele nimed.<br />
Näiteks välisvõrk net (interNET) ja sisevõrk loc (LOCal või private).<br />
<br />
<br />
--- konfiguratsioonifaili sisu ---<br />
#ZONE TYPE OPTIONS IN OUT<br />
# OPTIONS OPTIONS<br />
fw firewall<br />
net ipv4<br />
loc ipv4<br />
<br />
<br><b> Interfaces konfiguratsioonifail</b><br><br />
Võrguliideste defineerimine. Siin määrame milline võrguliides vastab tsoonifailis oleva kirjeldusega. <br />
<br />
--- konfiguratsioonifaili sisu ---<br />
#ZONE INTERFACE BROADCAST OPTIONS<br />
net eth1 193.xxx.xxx.xxx routefilter<br />
loc eth0 172.xxx.xxx.255 dhcp,routeback<br />
<br />
Zone - tsoon mis on defineeritud zones failis.<br />
Interfaces - võrguliidese nimi.<br />
<br />
<br><b> Policy konfiguratsioonifail (General plan of action - tegevusplaan)</b><br><br />
<br />
--- konfiguratsioonifaili sisu ---<br />
#SOURCE DEST POLICY LOG LEVEL LIMIT:BURST<br />
loc net ACCEPT<br />
net all DROP info<br />
all all REJECT info<br />
<br />
<b> Rules (reeglid) konfiguratsioonifail </b><br><br />
Kõige tähtsam konfiguratsioonifail. <br />
Reeglite failis määratakse mis on lubatud ja keelatud. Kõikide uute ühenduste loomisel kontrollitakse tulemüüri reegleid.<br />
[http://www.shorewall.net/manpages/shorewall-rules.html Lisainfo reeglite kasutamisest]<br />
<br />
--- konfiguratsioonifaili sisu ---<br />
#ACTION SOURCE DEST PROTO DEST PORT(S)<br />
Web(DNAT) net loc:10.10.10.2 # lubame veebi (port 80) 10.10.10.2 masinasse<br />
ACCEPT dmz net tcp smtp # lubame smtp<br />
<br />
<br />
<b> shorewall.conf </b><br><br />
<br />
[http://www.shorewall.net/manpages/shorewall.conf.html Konfigureerimisest täpsemalt]<br />
<br />
#STARTUP_ENABLED=No<br />
STARTUP_ENABLED=Yes<br />
<br />
#IPTABLES=<br />
IPTABLES=/sbin/iptables<br />
<br />
#IP_FORWARDING=On<br />
IP_FORWARDING=Off<br />
<br />
<br />
<br />
<br />
<br />
Kui tulemüüri reeglid on paigas võiks proovida teenust käivitada teatud perioodiks, vältimaks ligipääsu probleeme ...<br />
<pre> shorewall try /etc/shorewall 120 </pre> <br />
Shorewall käivitatakse 120 sekundiks.<br />
<br />
=Teenus (start/stop/restart/status)=<br />
<br />
<pre> service shorewall start - teenuse käivitamine </pre><br />
<pre> service shorewall stop - teenuse seiskamine </pre><br />
<pre> service shorewall restart - teenuse taaskäivitamine </pre><br />
<pre> service shorewall status - teenuse oleku kuvamine (iptables reeglid, loodud ja loomisel ühendused, ...) </pre><br />
<br />
<br />
=Probleemid=<br />
<br />
Ära installeeri shorewalli kaughaldusena (muidu lõikad näppu ja ei pääse kaugelt süsteemile ligi).<br />
<br />
Kui shorewalli konfiguratsioonifailides on probleem, siis peaks vaatama logifaili<br />
<pre> less /var/log/shorewall-init.log </pre><br />
<br />
Logimine<br />
<br />
shorewall show log - näitab viimast 20 logitud rida<br />
shorewall logwatch - näitab logi teatud intervalliga<br />
shorewall dump - shorewall probleemide tuvastamiseks <br />
<br />
(erinevad võimalused: add, allow, check, clear, help, forget, hits, ipcalc, iprange, refresh, reject, show, try, )<br />
<br />
=Varundamine=<br />
<br />
Varundada on vaja konfiguratsioonifailid (näiteks asuvad konfiguratsioonifailid /etc/shorewall/ kaustas).<br />
<br />
<pre>ls -la /etc/shorewall/ - kuvatakse kausta shorewall sisu</pre> <br />
<br />
<pre>tar -zcp /etc/shorewall > /root/shorewall_reeglite_varu.tar.gz - pakime konfiguratsioonifailid kokku</pre><br />
<pre>cp -r /etc/shorewall > /root/varundamisekaust/shorewall - kopeerime failid varundamise kausta</pre><br />
<br />
=Eemaldamine=<br />
<b> Debian, Fedora, RedHat, Suse, Centos, Ubuntu, ... </b><br><br />
<pre> apt-get remove -purge shorewall </pre><br />
<br />
<pre> yum remove shorewall</pre><br />
<br />
=Kokkuvõte=<br />
<br />
Shorewall tarkvara on lihtne paigaldada ja hallata. Shorewall projektiga tegeletakse aktiivselt edasi ja soovitan huvilistel olla kursis uudistega, mille leiad järgnevalt [http://www.shorewall.net/News.htm lingilt].<br />
<br />
=Kasutatud kirjandus=<br />
* http://www.shorewall.net/<br />
* http://en.wikipedia.org/wiki/Shorewall<br />
* http://en.wikipedia.org/wiki/Netfilter<br />
* http://www.netfilter.org/<br />
* http://www.frozentux.net/documents/iptables-tutorial/<br />
* http://easyfwgen.morizot.net/gen/ - hea tulemüüri reeglite genereerimiseks<br />
<br />
<br />
[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]</div>Rkolgahttps://wiki.itcollege.ee/index.php?title=Shorewall&diff=6883Shorewall2010-04-17T10:39:32Z<p>Rkolga: /* Eelinfo */</p>
<hr />
<div><br><br />
<b> Autor: </b> Ragnar Kolga - AK32<br />
<br />
=Sissejuhatus=<br />
<br />
<b> Shorewall (alias Shoreline Firewall)</b> on tarkvaraline vahend netfiltri konfigureerimiseks Linuxis (linux - operatsioonisüsteem linux kernelil).<br />
<b>Netfilter</b> koos kasutajaliidesega iptables on paketifilter. Shorewall konfigureerib Netfiltri, kasutades konfiguratsioonifaile ja seda iptables utiliidi vahendusel. Shorewalli on võimalik kasutada tulemüürina väga erinevatel seadmetel (ruuteritel, serveritel, ...).<br />
<br />
Shorewall teeb lihtsamaks tulemüürireeglite manageerimise. Reeglid defineeritakse tekstifailides ja on lihtsasti muudetavad.<br />
Uuele kasutajale selles valdkonnas on kindlasti lihtsamaid tulemüüri reeglite haldamise vahendeid, millel on olemas ka graafiline liides.<br />
<br />
Alates 4.2 versioonist on toetatud ka IPv6.<br />
<br />
Viimane stabiilne versioon on 4.4.7 (04.2010 seisuga).<br />
Shorewalli tarkvara on saadaval ingliskeelsena. Litsents on GPLv2 ja üks arendajatest on Thomas M.Eastep.<br />
<br />
=Eelinfo=<br />
<br />
Oluline oleks veel teada, et <b>netfilter</b> lubab defineerida reegleid, kuidas käsitletakse võrgupakette.<br />
<br />
<br />
Netfilter koosneb erinevatest ahelast : <br />
INPUT - sissetulevad paketid <br />
OUTPUT - väljuvad paketid <br />
FORWARD - edastatavad paketid <br />
PREROUTING ja POSTROUTING - põhiliselt NAT tegemiseks (kui ei ole piisavalt avalike ip aadresse siis tuleb kasutada NAT-i). <br />
<br />
Siinkohal tooks veel välja, et <b>iptables</b> on vahend netfilter tabelite konfigureerimiseks (reeglitest koosnevad tabelid).<br />
<br />
Alustuseks tuleks luua üldine võrgu skeem ( [http://docs.huihoo.com/shorewall/2.0/images/basics.png Joonis] [http://docs.huihoo.com/shorewall/2.0/images Veel erinevaid lahendusi]). <br />
<br />
Järgnevalt tooksin välja tegevused shorewalli konfiguratsioonifailidega (abiks edaspidistel tegevustel ja tekib parem ettekujutus toimuvast).<br />
<br />
<b> Fail Tegevus </b><br />
Zones Võrgu jagamine tsoonideks <br />
Hosts, Interfaces Defineeritakse tsoonid tulemüüri liideste ja ip aadressitega <br />
Defineeritakse erinevate tsoonide võrguliikluse piirangud<br />
Policy Tsoonide vaheline ligipääs<br />
Rules Määratakse teenuste kaupa ligipääsu reeglid<br />
Määratakse destination NAT (D-NAT) reeglid<br />
Masq Määratakse Source NAT (S-NAT) reeglid<br />
Shorewall.conf Üldise konfiguratsioonifaili määrangud<br />
... Muud piirangud<br />
<br />
<br />
Abistavad käsud võrguliideste määramiseks konfiguratsioonifailides:<br />
<pre>ip route ls </pre> - võrguaadressid<br />
<pre>ifconfig -a</pre> - millised võrguliidesed on sinu arvutis<br />
<pre> route -n</pre> - ruutingutabel<br />
...<br />
Abistavad käsud reeglite määramiseks konfiguratsioonifailides:<br />
<pre>netstat -tnl</pre> - millised tcp teenused<br />
<pre>netstat -unl</pre> - millised udp teenused<br />
<pre>netstat -luntp</pre> - millised teenused töötavad sinu süsteemis<br />
<pre>grep "teenuse nimi" /etc/services</pre> - vaata milline on teenuse port<br />
...<br />
<br />
PS. Kõik käsud on käivitatud root kasutaja õigustes :-|<br />
<br />
=Installeerimine=<br />
<br />
[http://www.shorewall.net/Install.htm Juhend ]<br />
<br />
Lae alla shorewall 4.4.8 versioon käsurealt (vaata endale teine sobiv versioon ([http://slovakia.shorewall.net/pub/shorewall/ Vaata teine versioon])):<br />
<pre>wget http://slovakia.shorewall.net/pub/shorewall/4.4/shorewall-4.4.8/shorewall-4.4.8-2.noarch.rpm </pre><br />
<br />
Installeeri<br />
<pre>N: rpm -ivh <shorewall-4.4.8-2.noarch.rpm></pre><br />
<br />
Edaspdid siis asenda uuema versiooni rpm faili nimega<br />
<pre>rpm -ivh <shorewall rpm paketi nimi></pre><br />
<br />
TAR installeerimine käsurealt<br />
<pre>wget http://slovakia.shorewall.net/pub/shorewall/4.4/shorewall-4.4.8/shorewall-docs-html-4.4.8.tar.bz2</pre><br />
<br />
<pre>tar -jxf shorewall-x.x.x.tar.bz2</pre><br />
<pre>tar -xzf shorewall_versiooninr.tgz</pre><br />
<br />
Kopeerime näidis konfiguratsioonifailid /etc/shorewall kausta (Debian)<br />
<pre> cp /usr/share/doc/shorewall/default-config/* /etc/shorewall/ </pre><br />
<br />
=Konfigureerimine=<br />
<br />
Shorewalli olulisemad konfiguratsioonifailid on zones, policy, rules ja shorewall.conf.<br />
Antud referaadi koostamisel lähtud kõige levinumast lahendusest, kus on üks <b>välisvõrgu ja sisevõrgu</b> liides.<br><br />
<br />
[http://www.shorewall.net/shorewall_setup_guide.htm Konfigureerimisest]<br />
<br />
<br><b> Zones (tsoonid) konfiguratsioonifail </b><br><br />
<br />
Ühe tsooni piires kehtivad ühensugused tulemüüri reeglid.<br />
Kõigepealt tuleb konfigureerida erinevad võrgu tsoonid. Kirjeldada tuleb tsoonidele nimed.<br />
Näiteks välisvõrk net (interNET) ja sisevõrk loc (LOCal või private).<br />
<br />
<br />
--- konfiguratsioonifaili sisu ---<br />
#ZONE TYPE OPTIONS IN OUT<br />
# OPTIONS OPTIONS<br />
fw firewall<br />
net ipv4<br />
loc ipv4<br />
<br />
<br><b> Interfaces konfiguratsioonifail</b><br><br />
Võrguliideste defineerimine. Siin määrame milline võrguliides vastab tsoonifailis oleva kirjeldusega. <br />
<br />
--- konfiguratsioonifaili sisu ---<br />
#ZONE INTERFACE BROADCAST OPTIONS<br />
net eth1 193.xxx.xxx.xxx routefilter<br />
loc eth0 172.xxx.xxx.255 dhcp,routeback<br />
<br />
Zone - tsoon mis on defineeritud zones failis.<br />
Interfaces - võrguliidese nimi.<br />
<br />
<br><b> Policy konfiguratsioonifail (General plan of action - tegevusplaan)</b><br><br />
<br />
--- konfiguratsioonifaili sisu ---<br />
#SOURCE DEST POLICY LOG LEVEL LIMIT:BURST<br />
loc net ACCEPT<br />
net all DROP info<br />
all all REJECT info<br />
<br />
<b> Rules (reeglid) konfiguratsioonifail </b><br><br />
Kõige tähtsam konfiguratsioonifail. <br />
Reeglite failis määratakse mis on lubatud ja keelatud. Kõikide uute ühenduste loomisel kontrollitakse tulemüüri reegleid.<br />
[http://www.shorewall.net/manpages/shorewall-rules.html Lisainfo reeglite kasutamisest]<br />
<br />
--- konfiguratsioonifaili sisu ---<br />
#ACTION SOURCE DEST PROTO DEST PORT(S)<br />
Web(DNAT) net loc:10.10.10.2 # lubame veebi (port 80) 10.10.10.2 masinasse<br />
ACCEPT dmz net tcp smtp # lubame smtp<br />
<br />
<br />
<b> shorewall.conf </b><br><br />
<br />
[http://www.shorewall.net/manpages/shorewall.conf.html Konfigureerimisest täpsemalt]<br />
<br />
<br />
<br />
Kui tulemüüri reeglid on paigas võiks proovida teenust käivitada teatud perioodiks, vältimaks ligipääsu probleeme ...<br />
<pre> shorewall try /etc/shorewall 120 </pre> <br />
Shorewall käivitatakse 120 sekundiks.<br />
<br />
=Teenus (start/stop/restart/status)=<br />
<br />
<pre> service shorewall start - teenuse käivitamine </pre><br />
<pre> service shorewall stop - teenuse seiskamine </pre><br />
<pre> service shorewall restart - teenuse taaskäivitamine </pre><br />
<pre> service shorewall status - teenuse oleku kuvamine (iptables reeglid, loodud ja loomisel ühendused, ...) </pre><br />
<br />
<br />
=Probleemid=<br />
<br />
Ära installeeri shorewalli kaughaldusena (muidu lõikad näppu ja ei pääse kaugelt süsteemile ligi).<br />
<br />
Kui shorewalli konfiguratsioonifailides on probleem, siis peaks vaatama logifaili<br />
<pre> less /var/log/shorewall-init.log </pre><br />
<br />
Logimine<br />
<br />
shorewall show log - näitab viimast 20 logitud rida<br />
shorewall logwatch - näitab logi teatud intervalliga<br />
shorewall dump - shorewall probleemide tuvastamiseks <br />
<br />
(erinevad võimalused: add, allow, check, clear, help, forget, hits, ipcalc, iprange, refresh, reject, show, try, )<br />
<br />
=Varundamine=<br />
<br />
Varundada on vaja konfiguratsioonifailid (näiteks asuvad konfiguratsioonifailid /etc/shorewall/ kaustas).<br />
<br />
<pre>ls -la /etc/shorewall/ - kuvatakse kausta shorewall sisu</pre> <br />
<br />
<pre>tar -zcp /etc/shorewall > /root/shorewall_reeglite_varu.tar.gz - pakime konfiguratsioonifailid kokku</pre><br />
<pre>cp -r /etc/shorewall > /root/varundamisekaust/shorewall - kopeerime failid varundamise kausta</pre><br />
<br />
=Eemaldamine=<br />
<b> Debian, Fedora, RedHat, Suse, Centos, Ubuntu, ... </b><br><br />
<pre> apt-get remove -purge shorewall </pre><br />
<br />
<pre> yum remove shorewall</pre><br />
<br />
=Kokkuvõte=<br />
<br />
Shorewall tarkvara on lihtne paigaldada ja hallata. Shorewall projektiga tegeletakse aktiivselt edasi ja soovitan huvilistel olla kursis uudistega, mille leiad järgnevalt [http://www.shorewall.net/News.htm lingilt].<br />
<br />
=Kasutatud kirjandus=<br />
* http://www.shorewall.net/<br />
* http://en.wikipedia.org/wiki/Shorewall<br />
* http://en.wikipedia.org/wiki/Netfilter<br />
* http://www.netfilter.org/<br />
* http://www.frozentux.net/documents/iptables-tutorial/<br />
* http://easyfwgen.morizot.net/gen/ - hea tulemüüri reeglite genereerimiseks<br />
<br />
<br />
[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]</div>Rkolgahttps://wiki.itcollege.ee/index.php?title=Shorewall&diff=6882Shorewall2010-04-17T10:36:30Z<p>Rkolga: /* Installeerimine */</p>
<hr />
<div><br><br />
<b> Autor: </b> Ragnar Kolga - AK32<br />
<br />
=Sissejuhatus=<br />
<br />
<b> Shorewall (alias Shoreline Firewall)</b> on tarkvaraline vahend netfiltri konfigureerimiseks Linuxis (linux - operatsioonisüsteem linux kernelil).<br />
<b>Netfilter</b> koos kasutajaliidesega iptables on paketifilter. Shorewall konfigureerib Netfiltri, kasutades konfiguratsioonifaile ja seda iptables utiliidi vahendusel. Shorewalli on võimalik kasutada tulemüürina väga erinevatel seadmetel (ruuteritel, serveritel, ...).<br />
<br />
Shorewall teeb lihtsamaks tulemüürireeglite manageerimise. Reeglid defineeritakse tekstifailides ja on lihtsasti muudetavad.<br />
Uuele kasutajale selles valdkonnas on kindlasti lihtsamaid tulemüüri reeglite haldamise vahendeid, millel on olemas ka graafiline liides.<br />
<br />
Alates 4.2 versioonist on toetatud ka IPv6.<br />
<br />
Viimane stabiilne versioon on 4.4.7 (04.2010 seisuga).<br />
Shorewalli tarkvara on saadaval ingliskeelsena. Litsents on GPLv2 ja üks arendajatest on Thomas M.Eastep.<br />
<br />
=Eelinfo=<br />
<br />
Oluline oleks veel teada, et <b>netfilter</b> lubab defineerida reegleid, kuidas käsitletakse võrgupakette.<br />
<br />
<br />
Netfilter koosneb erinevatest ahelast : <br />
INPUT - sissetulevad paketid <br />
OUTPUT - väljuvad paketid <br />
FORWARD - edastatavad paketid <br />
PREROUTING ja POSTROUTING - põhiliselt NAT tegemiseks (kui ei ole piisavalt avalike ip aadresse siis tuleb kasutada NAT-i). <br />
<br />
Siinkohal tooks veel välja, et <b>iptables</b> on vahend netfilter tabelite konfigureerimiseks (reeglitest koosnevad tabelid).<br />
<br />
Alustuseks tuleks luua üldine võrgu skeem ( [http://docs.huihoo.com/shorewall/2.0/images/basics.png Joonis] [http://docs.huihoo.com/shorewall/2.0/images Veel erinevaid lahendusi]). <br />
<br />
Järgnevalt tooksin välja tegevused shorewalli konfiguratsioonifailidega (abiks edaspidistel tegevustel ja tekib parem ettekujutus toimuvast).<br />
<br />
<b> Fail Tegevus </b><br />
Zones Võrgu jagamine tsoonideks <br />
Hosts, Interfaces Defineeritakse tsoonid tulemüüri liideste ja ip aadressitega <br />
Defineeritakse erinevate tsoonide võrguliikluse piirangud<br />
Policy Tsoonide vaheline ligipääs<br />
Rules Määratakse teenuste kaupa ligipääsu reeglid<br />
Määratakse destination NAT (D-NAT) reeglid<br />
Masq Määratakse Source NAT (S-NAT) reeglid<br />
Shorewall.conf Üldise konfiguratsioonifaili määrangud<br />
... Muud piirangud<br />
<br />
<br />
Abistavad käsud võrguliideste määramiseks konfiguratsioonifailides:<br />
<pre>ip route ls </pre><br />
<pre>ifconfig</pre><br />
<pre> route -n</pre><br />
...<br />
Abistavad käsud reeglite määramiseks konfiguratsioonifailides:<br />
<pre>netstat -tnl</pre><br />
<pre>netstat -unl</pre><br />
<pre>netstat -pantu</pre><br />
<pre>grep "teenuse nimi" /etc/services</pre><br />
...<br />
<br />
PS. Kõik käsud on käivitatud root kasutaja õigustes :-|<br />
<br />
=Installeerimine=<br />
<br />
[http://www.shorewall.net/Install.htm Juhend ]<br />
<br />
Lae alla shorewall 4.4.8 versioon käsurealt (vaata endale teine sobiv versioon ([http://slovakia.shorewall.net/pub/shorewall/ Vaata teine versioon])):<br />
<pre>wget http://slovakia.shorewall.net/pub/shorewall/4.4/shorewall-4.4.8/shorewall-4.4.8-2.noarch.rpm </pre><br />
<br />
Installeeri<br />
<pre>N: rpm -ivh <shorewall-4.4.8-2.noarch.rpm></pre><br />
<br />
Edaspdid siis asenda uuema versiooni rpm faili nimega<br />
<pre>rpm -ivh <shorewall rpm paketi nimi></pre><br />
<br />
TAR installeerimine käsurealt<br />
<pre>wget http://slovakia.shorewall.net/pub/shorewall/4.4/shorewall-4.4.8/shorewall-docs-html-4.4.8.tar.bz2</pre><br />
<br />
<pre>tar -jxf shorewall-x.x.x.tar.bz2</pre><br />
<pre>tar -xzf shorewall_versiooninr.tgz</pre><br />
<br />
Kopeerime näidis konfiguratsioonifailid /etc/shorewall kausta (Debian)<br />
<pre> cp /usr/share/doc/shorewall/default-config/* /etc/shorewall/ </pre><br />
<br />
=Konfigureerimine=<br />
<br />
Shorewalli olulisemad konfiguratsioonifailid on zones, policy, rules ja shorewall.conf.<br />
Antud referaadi koostamisel lähtud kõige levinumast lahendusest, kus on üks <b>välisvõrgu ja sisevõrgu</b> liides.<br><br />
<br />
[http://www.shorewall.net/shorewall_setup_guide.htm Konfigureerimisest]<br />
<br />
<br><b> Zones (tsoonid) konfiguratsioonifail </b><br><br />
<br />
Ühe tsooni piires kehtivad ühensugused tulemüüri reeglid.<br />
Kõigepealt tuleb konfigureerida erinevad võrgu tsoonid. Kirjeldada tuleb tsoonidele nimed.<br />
Näiteks välisvõrk net (interNET) ja sisevõrk loc (LOCal või private).<br />
<br />
<br />
--- konfiguratsioonifaili sisu ---<br />
#ZONE TYPE OPTIONS IN OUT<br />
# OPTIONS OPTIONS<br />
fw firewall<br />
net ipv4<br />
loc ipv4<br />
<br />
<br><b> Interfaces konfiguratsioonifail</b><br><br />
Võrguliideste defineerimine. Siin määrame milline võrguliides vastab tsoonifailis oleva kirjeldusega. <br />
<br />
--- konfiguratsioonifaili sisu ---<br />
#ZONE INTERFACE BROADCAST OPTIONS<br />
net eth1 193.xxx.xxx.xxx routefilter<br />
loc eth0 172.xxx.xxx.255 dhcp,routeback<br />
<br />
Zone - tsoon mis on defineeritud zones failis.<br />
Interfaces - võrguliidese nimi.<br />
<br />
<br><b> Policy konfiguratsioonifail (General plan of action - tegevusplaan)</b><br><br />
<br />
--- konfiguratsioonifaili sisu ---<br />
#SOURCE DEST POLICY LOG LEVEL LIMIT:BURST<br />
loc net ACCEPT<br />
net all DROP info<br />
all all REJECT info<br />
<br />
<b> Rules (reeglid) konfiguratsioonifail </b><br><br />
Kõige tähtsam konfiguratsioonifail. <br />
Reeglite failis määratakse mis on lubatud ja keelatud. Kõikide uute ühenduste loomisel kontrollitakse tulemüüri reegleid.<br />
[http://www.shorewall.net/manpages/shorewall-rules.html Lisainfo reeglite kasutamisest]<br />
<br />
--- konfiguratsioonifaili sisu ---<br />
#ACTION SOURCE DEST PROTO DEST PORT(S)<br />
Web(DNAT) net loc:10.10.10.2 # lubame veebi (port 80) 10.10.10.2 masinasse<br />
ACCEPT dmz net tcp smtp # lubame smtp<br />
<br />
<br />
<b> shorewall.conf </b><br><br />
<br />
[http://www.shorewall.net/manpages/shorewall.conf.html Konfigureerimisest täpsemalt]<br />
<br />
<br />
<br />
Kui tulemüüri reeglid on paigas võiks proovida teenust käivitada teatud perioodiks, vältimaks ligipääsu probleeme ...<br />
<pre> shorewall try /etc/shorewall 120 </pre> <br />
Shorewall käivitatakse 120 sekundiks.<br />
<br />
=Teenus (start/stop/restart/status)=<br />
<br />
<pre> service shorewall start - teenuse käivitamine </pre><br />
<pre> service shorewall stop - teenuse seiskamine </pre><br />
<pre> service shorewall restart - teenuse taaskäivitamine </pre><br />
<pre> service shorewall status - teenuse oleku kuvamine (iptables reeglid, loodud ja loomisel ühendused, ...) </pre><br />
<br />
<br />
=Probleemid=<br />
<br />
Ära installeeri shorewalli kaughaldusena (muidu lõikad näppu ja ei pääse kaugelt süsteemile ligi).<br />
<br />
Kui shorewalli konfiguratsioonifailides on probleem, siis peaks vaatama logifaili<br />
<pre> less /var/log/shorewall-init.log </pre><br />
<br />
Logimine<br />
<br />
shorewall show log - näitab viimast 20 logitud rida<br />
shorewall logwatch - näitab logi teatud intervalliga<br />
shorewall dump - shorewall probleemide tuvastamiseks <br />
<br />
(erinevad võimalused: add, allow, check, clear, help, forget, hits, ipcalc, iprange, refresh, reject, show, try, )<br />
<br />
=Varundamine=<br />
<br />
Varundada on vaja konfiguratsioonifailid (näiteks asuvad konfiguratsioonifailid /etc/shorewall/ kaustas).<br />
<br />
<pre>ls -la /etc/shorewall/ - kuvatakse kausta shorewall sisu</pre> <br />
<br />
<pre>tar -zcp /etc/shorewall > /root/shorewall_reeglite_varu.tar.gz - pakime konfiguratsioonifailid kokku</pre><br />
<pre>cp -r /etc/shorewall > /root/varundamisekaust/shorewall - kopeerime failid varundamise kausta</pre><br />
<br />
=Eemaldamine=<br />
<b> Debian, Fedora, RedHat, Suse, Centos, Ubuntu, ... </b><br><br />
<pre> apt-get remove -purge shorewall </pre><br />
<br />
<pre> yum remove shorewall</pre><br />
<br />
=Kokkuvõte=<br />
<br />
Shorewall tarkvara on lihtne paigaldada ja hallata. Shorewall projektiga tegeletakse aktiivselt edasi ja soovitan huvilistel olla kursis uudistega, mille leiad järgnevalt [http://www.shorewall.net/News.htm lingilt].<br />
<br />
=Kasutatud kirjandus=<br />
* http://www.shorewall.net/<br />
* http://en.wikipedia.org/wiki/Shorewall<br />
* http://en.wikipedia.org/wiki/Netfilter<br />
* http://www.netfilter.org/<br />
* http://www.frozentux.net/documents/iptables-tutorial/<br />
* http://easyfwgen.morizot.net/gen/ - hea tulemüüri reeglite genereerimiseks<br />
<br />
<br />
[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]</div>Rkolgahttps://wiki.itcollege.ee/index.php?title=Shorewall&diff=6879Shorewall2010-04-17T10:33:16Z<p>Rkolga: /* Eelinfo */</p>
<hr />
<div><br><br />
<b> Autor: </b> Ragnar Kolga - AK32<br />
<br />
=Sissejuhatus=<br />
<br />
<b> Shorewall (alias Shoreline Firewall)</b> on tarkvaraline vahend netfiltri konfigureerimiseks Linuxis (linux - operatsioonisüsteem linux kernelil).<br />
<b>Netfilter</b> koos kasutajaliidesega iptables on paketifilter. Shorewall konfigureerib Netfiltri, kasutades konfiguratsioonifaile ja seda iptables utiliidi vahendusel. Shorewalli on võimalik kasutada tulemüürina väga erinevatel seadmetel (ruuteritel, serveritel, ...).<br />
<br />
Shorewall teeb lihtsamaks tulemüürireeglite manageerimise. Reeglid defineeritakse tekstifailides ja on lihtsasti muudetavad.<br />
Uuele kasutajale selles valdkonnas on kindlasti lihtsamaid tulemüüri reeglite haldamise vahendeid, millel on olemas ka graafiline liides.<br />
<br />
Alates 4.2 versioonist on toetatud ka IPv6.<br />
<br />
Viimane stabiilne versioon on 4.4.7 (04.2010 seisuga).<br />
Shorewalli tarkvara on saadaval ingliskeelsena. Litsents on GPLv2 ja üks arendajatest on Thomas M.Eastep.<br />
<br />
=Eelinfo=<br />
<br />
Oluline oleks veel teada, et <b>netfilter</b> lubab defineerida reegleid, kuidas käsitletakse võrgupakette.<br />
<br />
<br />
Netfilter koosneb erinevatest ahelast : <br />
INPUT - sissetulevad paketid <br />
OUTPUT - väljuvad paketid <br />
FORWARD - edastatavad paketid <br />
PREROUTING ja POSTROUTING - põhiliselt NAT tegemiseks (kui ei ole piisavalt avalike ip aadresse siis tuleb kasutada NAT-i). <br />
<br />
Siinkohal tooks veel välja, et <b>iptables</b> on vahend netfilter tabelite konfigureerimiseks (reeglitest koosnevad tabelid).<br />
<br />
Alustuseks tuleks luua üldine võrgu skeem ( [http://docs.huihoo.com/shorewall/2.0/images/basics.png Joonis] [http://docs.huihoo.com/shorewall/2.0/images Veel erinevaid lahendusi]). <br />
<br />
Järgnevalt tooksin välja tegevused shorewalli konfiguratsioonifailidega (abiks edaspidistel tegevustel ja tekib parem ettekujutus toimuvast).<br />
<br />
<b> Fail Tegevus </b><br />
Zones Võrgu jagamine tsoonideks <br />
Hosts, Interfaces Defineeritakse tsoonid tulemüüri liideste ja ip aadressitega <br />
Defineeritakse erinevate tsoonide võrguliikluse piirangud<br />
Policy Tsoonide vaheline ligipääs<br />
Rules Määratakse teenuste kaupa ligipääsu reeglid<br />
Määratakse destination NAT (D-NAT) reeglid<br />
Masq Määratakse Source NAT (S-NAT) reeglid<br />
Shorewall.conf Üldise konfiguratsioonifaili määrangud<br />
... Muud piirangud<br />
<br />
<br />
Abistavad käsud võrguliideste määramiseks konfiguratsioonifailides:<br />
<pre>ip route ls </pre><br />
<pre>ifconfig</pre><br />
<pre> route -n</pre><br />
...<br />
Abistavad käsud reeglite määramiseks konfiguratsioonifailides:<br />
<pre>netstat -tnl</pre><br />
<pre>netstat -unl</pre><br />
<pre>netstat -pantu</pre><br />
<pre>grep "teenuse nimi" /etc/services</pre><br />
...<br />
<br />
PS. Kõik käsud on käivitatud root kasutaja õigustes :-|<br />
<br />
=Installeerimine=<br />
<br />
Lae alla shorewall 4.4.8 versioon käsurealt (vaata endale teine sobiv versioon ([http://slovakia.shorewall.net/pub/shorewall/ Vaata teine versioon])):<br />
<pre>wget http://slovakia.shorewall.net/pub/shorewall/4.4/shorewall-4.4.8/shorewall-4.4.8-2.noarch.rpm </pre><br />
<br />
Installeeri<br />
<pre>N: rpm -ivh <shorewall-4.4.8-2.noarch.rpm></pre><br />
<br />
Edaspdid siis asenda uuema versiooni rpm faili nimega<br />
<pre>rpm -ivh <shorewall rpm paketi nimi></pre><br />
<br />
TAR installeerimine käsurealt<br />
<pre>wget http://slovakia.shorewall.net/pub/shorewall/4.4/shorewall-4.4.8/shorewall-docs-html-4.4.8.tar.bz2</pre><br />
<br />
<pre>tar -jxf shorewall-x.x.x.tar.bz2</pre><br />
<pre>tar -xzf shorewall_versiooninr.tgz</pre><br />
<br />
Kopeerime näidis konfiguratsioonifailid /etc/shorewall kausta (Debian)<br />
<pre> cp /usr/share/doc/shorewall/default-config/* /etc/shorewall/ </pre><br />
<br />
=Konfigureerimine=<br />
<br />
Shorewalli olulisemad konfiguratsioonifailid on zones, policy, rules ja shorewall.conf.<br />
Antud referaadi koostamisel lähtud kõige levinumast lahendusest, kus on üks <b>välisvõrgu ja sisevõrgu</b> liides.<br><br />
<br />
[http://www.shorewall.net/shorewall_setup_guide.htm Konfigureerimisest]<br />
<br />
<br><b> Zones (tsoonid) konfiguratsioonifail </b><br><br />
<br />
Ühe tsooni piires kehtivad ühensugused tulemüüri reeglid.<br />
Kõigepealt tuleb konfigureerida erinevad võrgu tsoonid. Kirjeldada tuleb tsoonidele nimed.<br />
Näiteks välisvõrk net (interNET) ja sisevõrk loc (LOCal või private).<br />
<br />
<br />
--- konfiguratsioonifaili sisu ---<br />
#ZONE TYPE OPTIONS IN OUT<br />
# OPTIONS OPTIONS<br />
fw firewall<br />
net ipv4<br />
loc ipv4<br />
<br />
<br><b> Interfaces konfiguratsioonifail</b><br><br />
Võrguliideste defineerimine. Siin määrame milline võrguliides vastab tsoonifailis oleva kirjeldusega. <br />
<br />
--- konfiguratsioonifaili sisu ---<br />
#ZONE INTERFACE BROADCAST OPTIONS<br />
net eth1 193.xxx.xxx.xxx routefilter<br />
loc eth0 172.xxx.xxx.255 dhcp,routeback<br />
<br />
Zone - tsoon mis on defineeritud zones failis.<br />
Interfaces - võrguliidese nimi.<br />
<br />
<br><b> Policy konfiguratsioonifail (General plan of action - tegevusplaan)</b><br><br />
<br />
--- konfiguratsioonifaili sisu ---<br />
#SOURCE DEST POLICY LOG LEVEL LIMIT:BURST<br />
loc net ACCEPT<br />
net all DROP info<br />
all all REJECT info<br />
<br />
<b> Rules (reeglid) konfiguratsioonifail </b><br><br />
Kõige tähtsam konfiguratsioonifail. <br />
Reeglite failis määratakse mis on lubatud ja keelatud. Kõikide uute ühenduste loomisel kontrollitakse tulemüüri reegleid.<br />
[http://www.shorewall.net/manpages/shorewall-rules.html Lisainfo reeglite kasutamisest]<br />
<br />
--- konfiguratsioonifaili sisu ---<br />
#ACTION SOURCE DEST PROTO DEST PORT(S)<br />
Web(DNAT) net loc:10.10.10.2 # lubame veebi (port 80) 10.10.10.2 masinasse<br />
ACCEPT dmz net tcp smtp # lubame smtp<br />
<br />
<br />
<b> shorewall.conf </b><br><br />
<br />
[http://www.shorewall.net/manpages/shorewall.conf.html Konfigureerimisest täpsemalt]<br />
<br />
<br />
<br />
Kui tulemüüri reeglid on paigas võiks proovida teenust käivitada teatud perioodiks, vältimaks ligipääsu probleeme ...<br />
<pre> shorewall try /etc/shorewall 120 </pre> <br />
Shorewall käivitatakse 120 sekundiks.<br />
<br />
=Teenus (start/stop/restart/status)=<br />
<br />
<pre> service shorewall start - teenuse käivitamine </pre><br />
<pre> service shorewall stop - teenuse seiskamine </pre><br />
<pre> service shorewall restart - teenuse taaskäivitamine </pre><br />
<pre> service shorewall status - teenuse oleku kuvamine (iptables reeglid, loodud ja loomisel ühendused, ...) </pre><br />
<br />
<br />
=Probleemid=<br />
<br />
Ära installeeri shorewalli kaughaldusena (muidu lõikad näppu ja ei pääse kaugelt süsteemile ligi).<br />
<br />
Kui shorewalli konfiguratsioonifailides on probleem, siis peaks vaatama logifaili<br />
<pre> less /var/log/shorewall-init.log </pre><br />
<br />
Logimine<br />
<br />
shorewall show log - näitab viimast 20 logitud rida<br />
shorewall logwatch - näitab logi teatud intervalliga<br />
shorewall dump - shorewall probleemide tuvastamiseks <br />
<br />
(erinevad võimalused: add, allow, check, clear, help, forget, hits, ipcalc, iprange, refresh, reject, show, try, )<br />
<br />
=Varundamine=<br />
<br />
Varundada on vaja konfiguratsioonifailid (näiteks asuvad konfiguratsioonifailid /etc/shorewall/ kaustas).<br />
<br />
<pre>ls -la /etc/shorewall/ - kuvatakse kausta shorewall sisu</pre> <br />
<br />
<pre>tar -zcp /etc/shorewall > /root/shorewall_reeglite_varu.tar.gz - pakime konfiguratsioonifailid kokku</pre><br />
<pre>cp -r /etc/shorewall > /root/varundamisekaust/shorewall - kopeerime failid varundamise kausta</pre><br />
<br />
=Eemaldamine=<br />
<b> Debian, Fedora, RedHat, Suse, Centos, Ubuntu, ... </b><br><br />
<pre> apt-get remove -purge shorewall </pre><br />
<br />
<pre> yum remove shorewall</pre><br />
<br />
=Kokkuvõte=<br />
<br />
Shorewall tarkvara on lihtne paigaldada ja hallata. Shorewall projektiga tegeletakse aktiivselt edasi ja soovitan huvilistel olla kursis uudistega, mille leiad järgnevalt [http://www.shorewall.net/News.htm lingilt].<br />
<br />
=Kasutatud kirjandus=<br />
* http://www.shorewall.net/<br />
* http://en.wikipedia.org/wiki/Shorewall<br />
* http://en.wikipedia.org/wiki/Netfilter<br />
* http://www.netfilter.org/<br />
* http://www.frozentux.net/documents/iptables-tutorial/<br />
* http://easyfwgen.morizot.net/gen/ - hea tulemüüri reeglite genereerimiseks<br />
<br />
<br />
[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]</div>Rkolgahttps://wiki.itcollege.ee/index.php?title=Shorewall&diff=6878Shorewall2010-04-17T10:32:54Z<p>Rkolga: /* Eelinfo */</p>
<hr />
<div><br><br />
<b> Autor: </b> Ragnar Kolga - AK32<br />
<br />
=Sissejuhatus=<br />
<br />
<b> Shorewall (alias Shoreline Firewall)</b> on tarkvaraline vahend netfiltri konfigureerimiseks Linuxis (linux - operatsioonisüsteem linux kernelil).<br />
<b>Netfilter</b> koos kasutajaliidesega iptables on paketifilter. Shorewall konfigureerib Netfiltri, kasutades konfiguratsioonifaile ja seda iptables utiliidi vahendusel. Shorewalli on võimalik kasutada tulemüürina väga erinevatel seadmetel (ruuteritel, serveritel, ...).<br />
<br />
Shorewall teeb lihtsamaks tulemüürireeglite manageerimise. Reeglid defineeritakse tekstifailides ja on lihtsasti muudetavad.<br />
Uuele kasutajale selles valdkonnas on kindlasti lihtsamaid tulemüüri reeglite haldamise vahendeid, millel on olemas ka graafiline liides.<br />
<br />
Alates 4.2 versioonist on toetatud ka IPv6.<br />
<br />
Viimane stabiilne versioon on 4.4.7 (04.2010 seisuga).<br />
Shorewalli tarkvara on saadaval ingliskeelsena. Litsents on GPLv2 ja üks arendajatest on Thomas M.Eastep.<br />
<br />
=Eelinfo=<br />
<br />
Oluline oleks veel teada, et <b>netfilter</b> lubab defineerida reegleid, kuidas käsitletakse võrgupakette.<br />
<br />
<br />
Netfilter koosneb erinevatest ahelast : <br />
INPUT - sissetulevad paketid <br />
OUTPUT - väljuvad paketid <br />
FORWARD - edastatavad paketid <br />
PREROUTING ja POSTROUTING - põhiliselt NAT tegemiseks (kui ei ole piisavalt avalike ip aadresse siis tuleb kasutada NAT-i). <br />
<br />
Siinkohal tooks veel välja, et <b>iptables</b> on vahend netfilter tabelite konfigureerimiseks (reeglitest koosnevad tabelid).<br />
<br />
Alustuseks tuleks luua üldine võrgu skeem ( [http://docs.huihoo.com/shorewall/2.0/images/basics.png Joonis] [http://docs.huihoo.com/shorewall/2.0/images Veel erinevaid lahendusi]). <br />
<br />
Järgnevalt tooksin välja tegevused shorewalli konfiguratsioonifailidega (abiks edaspidistel tegevustel ja tekib parem ettekujutus toimuvast).<br />
<br />
<b> Fail Tegevus </b><br />
Zones Võrgu jagamine tsoonideks <br />
Hosts, Interfaces Defineeritakse tsoonid tulemüüri liideste ja ip aadressitega <br />
Defineeritakse erinevate tsoonide võrguliikluse piirangud<br />
Policy Tsoonide vaheline ligipääs<br />
Rules Määratakse teenuste kaupa ligipääsu reeglid<br />
Määratakse destination NAT (D-NAT) reeglid<br />
Masq Määratakse Source NAT (S-NAT) reeglid<br />
Shorewall.conf Üldise konfiguratsioonifaili määrangud<br />
... Muud piirangud<br />
<br />
<br />
Abistavad käsud võrguliideste määramiseks konfiguratsioonifailides:<br />
<pre>ip route ls </pre><br />
<pre>ifconfig</pre><br />
<pre> route -n</pre><br />
...<br />
Abistavad käsud reeglite määramiseks konfiguratsioonifailides:<br />
<pre>netstat -tnl</pre><br />
<pre>netstat -unl</pre><br />
<pre>netstat -pantu</pre><br />
<pre>grep "teenuse nimi" /etc/services</pre><br />
...<br />
<br />
ps. Kõik käsud on käivitatud root kasutaja õigustes :-|<br />
<br />
=Installeerimine=<br />
<br />
Lae alla shorewall 4.4.8 versioon käsurealt (vaata endale teine sobiv versioon ([http://slovakia.shorewall.net/pub/shorewall/ Vaata teine versioon])):<br />
<pre>wget http://slovakia.shorewall.net/pub/shorewall/4.4/shorewall-4.4.8/shorewall-4.4.8-2.noarch.rpm </pre><br />
<br />
Installeeri<br />
<pre>N: rpm -ivh <shorewall-4.4.8-2.noarch.rpm></pre><br />
<br />
Edaspdid siis asenda uuema versiooni rpm faili nimega<br />
<pre>rpm -ivh <shorewall rpm paketi nimi></pre><br />
<br />
TAR installeerimine käsurealt<br />
<pre>wget http://slovakia.shorewall.net/pub/shorewall/4.4/shorewall-4.4.8/shorewall-docs-html-4.4.8.tar.bz2</pre><br />
<br />
<pre>tar -jxf shorewall-x.x.x.tar.bz2</pre><br />
<pre>tar -xzf shorewall_versiooninr.tgz</pre><br />
<br />
Kopeerime näidis konfiguratsioonifailid /etc/shorewall kausta (Debian)<br />
<pre> cp /usr/share/doc/shorewall/default-config/* /etc/shorewall/ </pre><br />
<br />
=Konfigureerimine=<br />
<br />
Shorewalli olulisemad konfiguratsioonifailid on zones, policy, rules ja shorewall.conf.<br />
Antud referaadi koostamisel lähtud kõige levinumast lahendusest, kus on üks <b>välisvõrgu ja sisevõrgu</b> liides.<br><br />
<br />
[http://www.shorewall.net/shorewall_setup_guide.htm Konfigureerimisest]<br />
<br />
<br><b> Zones (tsoonid) konfiguratsioonifail </b><br><br />
<br />
Ühe tsooni piires kehtivad ühensugused tulemüüri reeglid.<br />
Kõigepealt tuleb konfigureerida erinevad võrgu tsoonid. Kirjeldada tuleb tsoonidele nimed.<br />
Näiteks välisvõrk net (interNET) ja sisevõrk loc (LOCal või private).<br />
<br />
<br />
--- konfiguratsioonifaili sisu ---<br />
#ZONE TYPE OPTIONS IN OUT<br />
# OPTIONS OPTIONS<br />
fw firewall<br />
net ipv4<br />
loc ipv4<br />
<br />
<br><b> Interfaces konfiguratsioonifail</b><br><br />
Võrguliideste defineerimine. Siin määrame milline võrguliides vastab tsoonifailis oleva kirjeldusega. <br />
<br />
--- konfiguratsioonifaili sisu ---<br />
#ZONE INTERFACE BROADCAST OPTIONS<br />
net eth1 193.xxx.xxx.xxx routefilter<br />
loc eth0 172.xxx.xxx.255 dhcp,routeback<br />
<br />
Zone - tsoon mis on defineeritud zones failis.<br />
Interfaces - võrguliidese nimi.<br />
<br />
<br><b> Policy konfiguratsioonifail (General plan of action - tegevusplaan)</b><br><br />
<br />
--- konfiguratsioonifaili sisu ---<br />
#SOURCE DEST POLICY LOG LEVEL LIMIT:BURST<br />
loc net ACCEPT<br />
net all DROP info<br />
all all REJECT info<br />
<br />
<b> Rules (reeglid) konfiguratsioonifail </b><br><br />
Kõige tähtsam konfiguratsioonifail. <br />
Reeglite failis määratakse mis on lubatud ja keelatud. Kõikide uute ühenduste loomisel kontrollitakse tulemüüri reegleid.<br />
[http://www.shorewall.net/manpages/shorewall-rules.html Lisainfo reeglite kasutamisest]<br />
<br />
--- konfiguratsioonifaili sisu ---<br />
#ACTION SOURCE DEST PROTO DEST PORT(S)<br />
Web(DNAT) net loc:10.10.10.2 # lubame veebi (port 80) 10.10.10.2 masinasse<br />
ACCEPT dmz net tcp smtp # lubame smtp<br />
<br />
<br />
<b> shorewall.conf </b><br><br />
<br />
[http://www.shorewall.net/manpages/shorewall.conf.html Konfigureerimisest täpsemalt]<br />
<br />
<br />
<br />
Kui tulemüüri reeglid on paigas võiks proovida teenust käivitada teatud perioodiks, vältimaks ligipääsu probleeme ...<br />
<pre> shorewall try /etc/shorewall 120 </pre> <br />
Shorewall käivitatakse 120 sekundiks.<br />
<br />
=Teenus (start/stop/restart/status)=<br />
<br />
<pre> service shorewall start - teenuse käivitamine </pre><br />
<pre> service shorewall stop - teenuse seiskamine </pre><br />
<pre> service shorewall restart - teenuse taaskäivitamine </pre><br />
<pre> service shorewall status - teenuse oleku kuvamine (iptables reeglid, loodud ja loomisel ühendused, ...) </pre><br />
<br />
<br />
=Probleemid=<br />
<br />
Ära installeeri shorewalli kaughaldusena (muidu lõikad näppu ja ei pääse kaugelt süsteemile ligi).<br />
<br />
Kui shorewalli konfiguratsioonifailides on probleem, siis peaks vaatama logifaili<br />
<pre> less /var/log/shorewall-init.log </pre><br />
<br />
Logimine<br />
<br />
shorewall show log - näitab viimast 20 logitud rida<br />
shorewall logwatch - näitab logi teatud intervalliga<br />
shorewall dump - shorewall probleemide tuvastamiseks <br />
<br />
(erinevad võimalused: add, allow, check, clear, help, forget, hits, ipcalc, iprange, refresh, reject, show, try, )<br />
<br />
=Varundamine=<br />
<br />
Varundada on vaja konfiguratsioonifailid (näiteks asuvad konfiguratsioonifailid /etc/shorewall/ kaustas).<br />
<br />
<pre>ls -la /etc/shorewall/ - kuvatakse kausta shorewall sisu</pre> <br />
<br />
<pre>tar -zcp /etc/shorewall > /root/shorewall_reeglite_varu.tar.gz - pakime konfiguratsioonifailid kokku</pre><br />
<pre>cp -r /etc/shorewall > /root/varundamisekaust/shorewall - kopeerime failid varundamise kausta</pre><br />
<br />
=Eemaldamine=<br />
<b> Debian, Fedora, RedHat, Suse, Centos, Ubuntu, ... </b><br><br />
<pre> apt-get remove -purge shorewall </pre><br />
<br />
<pre> yum remove shorewall</pre><br />
<br />
=Kokkuvõte=<br />
<br />
Shorewall tarkvara on lihtne paigaldada ja hallata. Shorewall projektiga tegeletakse aktiivselt edasi ja soovitan huvilistel olla kursis uudistega, mille leiad järgnevalt [http://www.shorewall.net/News.htm lingilt].<br />
<br />
=Kasutatud kirjandus=<br />
* http://www.shorewall.net/<br />
* http://en.wikipedia.org/wiki/Shorewall<br />
* http://en.wikipedia.org/wiki/Netfilter<br />
* http://www.netfilter.org/<br />
* http://www.frozentux.net/documents/iptables-tutorial/<br />
* http://easyfwgen.morizot.net/gen/ - hea tulemüüri reeglite genereerimiseks<br />
<br />
<br />
[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]</div>Rkolgahttps://wiki.itcollege.ee/index.php?title=Shorewall&diff=6877Shorewall2010-04-17T10:32:24Z<p>Rkolga: /* Eemaldamine */</p>
<hr />
<div><br><br />
<b> Autor: </b> Ragnar Kolga - AK32<br />
<br />
=Sissejuhatus=<br />
<br />
<b> Shorewall (alias Shoreline Firewall)</b> on tarkvaraline vahend netfiltri konfigureerimiseks Linuxis (linux - operatsioonisüsteem linux kernelil).<br />
<b>Netfilter</b> koos kasutajaliidesega iptables on paketifilter. Shorewall konfigureerib Netfiltri, kasutades konfiguratsioonifaile ja seda iptables utiliidi vahendusel. Shorewalli on võimalik kasutada tulemüürina väga erinevatel seadmetel (ruuteritel, serveritel, ...).<br />
<br />
Shorewall teeb lihtsamaks tulemüürireeglite manageerimise. Reeglid defineeritakse tekstifailides ja on lihtsasti muudetavad.<br />
Uuele kasutajale selles valdkonnas on kindlasti lihtsamaid tulemüüri reeglite haldamise vahendeid, millel on olemas ka graafiline liides.<br />
<br />
Alates 4.2 versioonist on toetatud ka IPv6.<br />
<br />
Viimane stabiilne versioon on 4.4.7 (04.2010 seisuga).<br />
Shorewalli tarkvara on saadaval ingliskeelsena. Litsents on GPLv2 ja üks arendajatest on Thomas M.Eastep.<br />
<br />
=Eelinfo=<br />
<br />
Oluline oleks veel teada, et <b>netfilter</b> lubab defineerida reegleid, kuidas käsitletakse võrgupakette.<br />
<br />
<br />
Netfilter koosneb erinevatest ahelast : <br />
INPUT - sissetulevad paketid <br />
OUTPUT - väljuvad paketid <br />
FORWARD - edastatavad paketid <br />
PREROUTING ja POSTROUTING - põhiliselt NAT tegemiseks (kui ei ole piisavalt avalike ip aadresse siis tuleb kasutada NAT-i). <br />
<br />
Siinkohal tooks veel välja, et <b>iptables</b> on vahend netfilter tabelite konfigureerimiseks (reeglitest koosnevad tabelid).<br />
<br />
Alustuseks tuleks luua üldine võrgu skeem ( [http://docs.huihoo.com/shorewall/2.0/images/basics.png Joonis] [http://docs.huihoo.com/shorewall/2.0/images Veel erinevaid lahendusi]). <br />
<br />
Järgnevalt tooksin välja tegevused shorewalli konfiguratsioonifailidega (abiks edaspidistel tegevustel ja tekib parem ettekujutus toimuvast).<br />
<br />
<b> Fail Tegevus </b><br />
Zones Võrgu jagamine tsoonideks <br />
Hosts, Interfaces Defineeritakse tsoonid tulemüüri liideste ja ip aadressitega <br />
Defineeritakse erinevate tsoonide võrguliikluse piirangud<br />
Policy Tsoonide vaheline ligipääs<br />
Rules Määratakse teenuste kaupa ligipääsu reeglid<br />
Määratakse destination NAT (D-NAT) reeglid<br />
Masq Määratakse Source NAT (S-NAT) reeglid<br />
Shorewall.conf Üldise konfiguratsioonifaili määrangud<br />
... Muud piirangud<br />
<br />
<br />
Abistavad käsud võrguliideste määramiseks konfiguratsioonifailides:<br />
<pre>ip route ls </pre><br />
<pre>ifconfig</pre><br />
<pre> route -n</pre><br />
...<br />
Abistavad käsud reeglite määramiseks konfiguratsioonifailides:<br />
<pre>netstat -tnl</pre><br />
<pre>netstat -unl</pre><br />
<pre>netstat -pantu</pre><br />
<pre>grep "teenuse nimi" /etc/services</pre><br />
...<br />
<br />
=Installeerimine=<br />
<br />
Lae alla shorewall 4.4.8 versioon käsurealt (vaata endale teine sobiv versioon ([http://slovakia.shorewall.net/pub/shorewall/ Vaata teine versioon])):<br />
<pre>wget http://slovakia.shorewall.net/pub/shorewall/4.4/shorewall-4.4.8/shorewall-4.4.8-2.noarch.rpm </pre><br />
<br />
Installeeri<br />
<pre>N: rpm -ivh <shorewall-4.4.8-2.noarch.rpm></pre><br />
<br />
Edaspdid siis asenda uuema versiooni rpm faili nimega<br />
<pre>rpm -ivh <shorewall rpm paketi nimi></pre><br />
<br />
TAR installeerimine käsurealt<br />
<pre>wget http://slovakia.shorewall.net/pub/shorewall/4.4/shorewall-4.4.8/shorewall-docs-html-4.4.8.tar.bz2</pre><br />
<br />
<pre>tar -jxf shorewall-x.x.x.tar.bz2</pre><br />
<pre>tar -xzf shorewall_versiooninr.tgz</pre><br />
<br />
Kopeerime näidis konfiguratsioonifailid /etc/shorewall kausta (Debian)<br />
<pre> cp /usr/share/doc/shorewall/default-config/* /etc/shorewall/ </pre><br />
<br />
=Konfigureerimine=<br />
<br />
Shorewalli olulisemad konfiguratsioonifailid on zones, policy, rules ja shorewall.conf.<br />
Antud referaadi koostamisel lähtud kõige levinumast lahendusest, kus on üks <b>välisvõrgu ja sisevõrgu</b> liides.<br><br />
<br />
[http://www.shorewall.net/shorewall_setup_guide.htm Konfigureerimisest]<br />
<br />
<br><b> Zones (tsoonid) konfiguratsioonifail </b><br><br />
<br />
Ühe tsooni piires kehtivad ühensugused tulemüüri reeglid.<br />
Kõigepealt tuleb konfigureerida erinevad võrgu tsoonid. Kirjeldada tuleb tsoonidele nimed.<br />
Näiteks välisvõrk net (interNET) ja sisevõrk loc (LOCal või private).<br />
<br />
<br />
--- konfiguratsioonifaili sisu ---<br />
#ZONE TYPE OPTIONS IN OUT<br />
# OPTIONS OPTIONS<br />
fw firewall<br />
net ipv4<br />
loc ipv4<br />
<br />
<br><b> Interfaces konfiguratsioonifail</b><br><br />
Võrguliideste defineerimine. Siin määrame milline võrguliides vastab tsoonifailis oleva kirjeldusega. <br />
<br />
--- konfiguratsioonifaili sisu ---<br />
#ZONE INTERFACE BROADCAST OPTIONS<br />
net eth1 193.xxx.xxx.xxx routefilter<br />
loc eth0 172.xxx.xxx.255 dhcp,routeback<br />
<br />
Zone - tsoon mis on defineeritud zones failis.<br />
Interfaces - võrguliidese nimi.<br />
<br />
<br><b> Policy konfiguratsioonifail (General plan of action - tegevusplaan)</b><br><br />
<br />
--- konfiguratsioonifaili sisu ---<br />
#SOURCE DEST POLICY LOG LEVEL LIMIT:BURST<br />
loc net ACCEPT<br />
net all DROP info<br />
all all REJECT info<br />
<br />
<b> Rules (reeglid) konfiguratsioonifail </b><br><br />
Kõige tähtsam konfiguratsioonifail. <br />
Reeglite failis määratakse mis on lubatud ja keelatud. Kõikide uute ühenduste loomisel kontrollitakse tulemüüri reegleid.<br />
[http://www.shorewall.net/manpages/shorewall-rules.html Lisainfo reeglite kasutamisest]<br />
<br />
--- konfiguratsioonifaili sisu ---<br />
#ACTION SOURCE DEST PROTO DEST PORT(S)<br />
Web(DNAT) net loc:10.10.10.2 # lubame veebi (port 80) 10.10.10.2 masinasse<br />
ACCEPT dmz net tcp smtp # lubame smtp<br />
<br />
<br />
<b> shorewall.conf </b><br><br />
<br />
[http://www.shorewall.net/manpages/shorewall.conf.html Konfigureerimisest täpsemalt]<br />
<br />
<br />
<br />
Kui tulemüüri reeglid on paigas võiks proovida teenust käivitada teatud perioodiks, vältimaks ligipääsu probleeme ...<br />
<pre> shorewall try /etc/shorewall 120 </pre> <br />
Shorewall käivitatakse 120 sekundiks.<br />
<br />
=Teenus (start/stop/restart/status)=<br />
<br />
<pre> service shorewall start - teenuse käivitamine </pre><br />
<pre> service shorewall stop - teenuse seiskamine </pre><br />
<pre> service shorewall restart - teenuse taaskäivitamine </pre><br />
<pre> service shorewall status - teenuse oleku kuvamine (iptables reeglid, loodud ja loomisel ühendused, ...) </pre><br />
<br />
<br />
=Probleemid=<br />
<br />
Ära installeeri shorewalli kaughaldusena (muidu lõikad näppu ja ei pääse kaugelt süsteemile ligi).<br />
<br />
Kui shorewalli konfiguratsioonifailides on probleem, siis peaks vaatama logifaili<br />
<pre> less /var/log/shorewall-init.log </pre><br />
<br />
Logimine<br />
<br />
shorewall show log - näitab viimast 20 logitud rida<br />
shorewall logwatch - näitab logi teatud intervalliga<br />
shorewall dump - shorewall probleemide tuvastamiseks <br />
<br />
(erinevad võimalused: add, allow, check, clear, help, forget, hits, ipcalc, iprange, refresh, reject, show, try, )<br />
<br />
=Varundamine=<br />
<br />
Varundada on vaja konfiguratsioonifailid (näiteks asuvad konfiguratsioonifailid /etc/shorewall/ kaustas).<br />
<br />
<pre>ls -la /etc/shorewall/ - kuvatakse kausta shorewall sisu</pre> <br />
<br />
<pre>tar -zcp /etc/shorewall > /root/shorewall_reeglite_varu.tar.gz - pakime konfiguratsioonifailid kokku</pre><br />
<pre>cp -r /etc/shorewall > /root/varundamisekaust/shorewall - kopeerime failid varundamise kausta</pre><br />
<br />
=Eemaldamine=<br />
<b> Debian, Fedora, RedHat, Suse, Centos, Ubuntu, ... </b><br><br />
<pre> apt-get remove -purge shorewall </pre><br />
<br />
<pre> yum remove shorewall</pre><br />
<br />
=Kokkuvõte=<br />
<br />
Shorewall tarkvara on lihtne paigaldada ja hallata. Shorewall projektiga tegeletakse aktiivselt edasi ja soovitan huvilistel olla kursis uudistega, mille leiad järgnevalt [http://www.shorewall.net/News.htm lingilt].<br />
<br />
=Kasutatud kirjandus=<br />
* http://www.shorewall.net/<br />
* http://en.wikipedia.org/wiki/Shorewall<br />
* http://en.wikipedia.org/wiki/Netfilter<br />
* http://www.netfilter.org/<br />
* http://www.frozentux.net/documents/iptables-tutorial/<br />
* http://easyfwgen.morizot.net/gen/ - hea tulemüüri reeglite genereerimiseks<br />
<br />
<br />
[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]</div>Rkolgahttps://wiki.itcollege.ee/index.php?title=Shorewall&diff=6876Shorewall2010-04-17T10:26:47Z<p>Rkolga: /* Varundamine */</p>
<hr />
<div><br><br />
<b> Autor: </b> Ragnar Kolga - AK32<br />
<br />
=Sissejuhatus=<br />
<br />
<b> Shorewall (alias Shoreline Firewall)</b> on tarkvaraline vahend netfiltri konfigureerimiseks Linuxis (linux - operatsioonisüsteem linux kernelil).<br />
<b>Netfilter</b> koos kasutajaliidesega iptables on paketifilter. Shorewall konfigureerib Netfiltri, kasutades konfiguratsioonifaile ja seda iptables utiliidi vahendusel. Shorewalli on võimalik kasutada tulemüürina väga erinevatel seadmetel (ruuteritel, serveritel, ...).<br />
<br />
Shorewall teeb lihtsamaks tulemüürireeglite manageerimise. Reeglid defineeritakse tekstifailides ja on lihtsasti muudetavad.<br />
Uuele kasutajale selles valdkonnas on kindlasti lihtsamaid tulemüüri reeglite haldamise vahendeid, millel on olemas ka graafiline liides.<br />
<br />
Alates 4.2 versioonist on toetatud ka IPv6.<br />
<br />
Viimane stabiilne versioon on 4.4.7 (04.2010 seisuga).<br />
Shorewalli tarkvara on saadaval ingliskeelsena. Litsents on GPLv2 ja üks arendajatest on Thomas M.Eastep.<br />
<br />
=Eelinfo=<br />
<br />
Oluline oleks veel teada, et <b>netfilter</b> lubab defineerida reegleid, kuidas käsitletakse võrgupakette.<br />
<br />
<br />
Netfilter koosneb erinevatest ahelast : <br />
INPUT - sissetulevad paketid <br />
OUTPUT - väljuvad paketid <br />
FORWARD - edastatavad paketid <br />
PREROUTING ja POSTROUTING - põhiliselt NAT tegemiseks (kui ei ole piisavalt avalike ip aadresse siis tuleb kasutada NAT-i). <br />
<br />
Siinkohal tooks veel välja, et <b>iptables</b> on vahend netfilter tabelite konfigureerimiseks (reeglitest koosnevad tabelid).<br />
<br />
Alustuseks tuleks luua üldine võrgu skeem ( [http://docs.huihoo.com/shorewall/2.0/images/basics.png Joonis] [http://docs.huihoo.com/shorewall/2.0/images Veel erinevaid lahendusi]). <br />
<br />
Järgnevalt tooksin välja tegevused shorewalli konfiguratsioonifailidega (abiks edaspidistel tegevustel ja tekib parem ettekujutus toimuvast).<br />
<br />
<b> Fail Tegevus </b><br />
Zones Võrgu jagamine tsoonideks <br />
Hosts, Interfaces Defineeritakse tsoonid tulemüüri liideste ja ip aadressitega <br />
Defineeritakse erinevate tsoonide võrguliikluse piirangud<br />
Policy Tsoonide vaheline ligipääs<br />
Rules Määratakse teenuste kaupa ligipääsu reeglid<br />
Määratakse destination NAT (D-NAT) reeglid<br />
Masq Määratakse Source NAT (S-NAT) reeglid<br />
Shorewall.conf Üldise konfiguratsioonifaili määrangud<br />
... Muud piirangud<br />
<br />
<br />
Abistavad käsud võrguliideste määramiseks konfiguratsioonifailides:<br />
<pre>ip route ls </pre><br />
<pre>ifconfig</pre><br />
<pre> route -n</pre><br />
...<br />
Abistavad käsud reeglite määramiseks konfiguratsioonifailides:<br />
<pre>netstat -tnl</pre><br />
<pre>netstat -unl</pre><br />
<pre>netstat -pantu</pre><br />
<pre>grep "teenuse nimi" /etc/services</pre><br />
...<br />
<br />
=Installeerimine=<br />
<br />
Lae alla shorewall 4.4.8 versioon käsurealt (vaata endale teine sobiv versioon ([http://slovakia.shorewall.net/pub/shorewall/ Vaata teine versioon])):<br />
<pre>wget http://slovakia.shorewall.net/pub/shorewall/4.4/shorewall-4.4.8/shorewall-4.4.8-2.noarch.rpm </pre><br />
<br />
Installeeri<br />
<pre>N: rpm -ivh <shorewall-4.4.8-2.noarch.rpm></pre><br />
<br />
Edaspdid siis asenda uuema versiooni rpm faili nimega<br />
<pre>rpm -ivh <shorewall rpm paketi nimi></pre><br />
<br />
TAR installeerimine käsurealt<br />
<pre>wget http://slovakia.shorewall.net/pub/shorewall/4.4/shorewall-4.4.8/shorewall-docs-html-4.4.8.tar.bz2</pre><br />
<br />
<pre>tar -jxf shorewall-x.x.x.tar.bz2</pre><br />
<pre>tar -xzf shorewall_versiooninr.tgz</pre><br />
<br />
Kopeerime näidis konfiguratsioonifailid /etc/shorewall kausta (Debian)<br />
<pre> cp /usr/share/doc/shorewall/default-config/* /etc/shorewall/ </pre><br />
<br />
=Konfigureerimine=<br />
<br />
Shorewalli olulisemad konfiguratsioonifailid on zones, policy, rules ja shorewall.conf.<br />
Antud referaadi koostamisel lähtud kõige levinumast lahendusest, kus on üks <b>välisvõrgu ja sisevõrgu</b> liides.<br><br />
<br />
[http://www.shorewall.net/shorewall_setup_guide.htm Konfigureerimisest]<br />
<br />
<br><b> Zones (tsoonid) konfiguratsioonifail </b><br><br />
<br />
Ühe tsooni piires kehtivad ühensugused tulemüüri reeglid.<br />
Kõigepealt tuleb konfigureerida erinevad võrgu tsoonid. Kirjeldada tuleb tsoonidele nimed.<br />
Näiteks välisvõrk net (interNET) ja sisevõrk loc (LOCal või private).<br />
<br />
<br />
--- konfiguratsioonifaili sisu ---<br />
#ZONE TYPE OPTIONS IN OUT<br />
# OPTIONS OPTIONS<br />
fw firewall<br />
net ipv4<br />
loc ipv4<br />
<br />
<br><b> Interfaces konfiguratsioonifail</b><br><br />
Võrguliideste defineerimine. Siin määrame milline võrguliides vastab tsoonifailis oleva kirjeldusega. <br />
<br />
--- konfiguratsioonifaili sisu ---<br />
#ZONE INTERFACE BROADCAST OPTIONS<br />
net eth1 193.xxx.xxx.xxx routefilter<br />
loc eth0 172.xxx.xxx.255 dhcp,routeback<br />
<br />
Zone - tsoon mis on defineeritud zones failis.<br />
Interfaces - võrguliidese nimi.<br />
<br />
<br><b> Policy konfiguratsioonifail (General plan of action - tegevusplaan)</b><br><br />
<br />
--- konfiguratsioonifaili sisu ---<br />
#SOURCE DEST POLICY LOG LEVEL LIMIT:BURST<br />
loc net ACCEPT<br />
net all DROP info<br />
all all REJECT info<br />
<br />
<b> Rules (reeglid) konfiguratsioonifail </b><br><br />
Kõige tähtsam konfiguratsioonifail. <br />
Reeglite failis määratakse mis on lubatud ja keelatud. Kõikide uute ühenduste loomisel kontrollitakse tulemüüri reegleid.<br />
[http://www.shorewall.net/manpages/shorewall-rules.html Lisainfo reeglite kasutamisest]<br />
<br />
--- konfiguratsioonifaili sisu ---<br />
#ACTION SOURCE DEST PROTO DEST PORT(S)<br />
Web(DNAT) net loc:10.10.10.2 # lubame veebi (port 80) 10.10.10.2 masinasse<br />
ACCEPT dmz net tcp smtp # lubame smtp<br />
<br />
<br />
<b> shorewall.conf </b><br><br />
<br />
[http://www.shorewall.net/manpages/shorewall.conf.html Konfigureerimisest täpsemalt]<br />
<br />
<br />
<br />
Kui tulemüüri reeglid on paigas võiks proovida teenust käivitada teatud perioodiks, vältimaks ligipääsu probleeme ...<br />
<pre> shorewall try /etc/shorewall 120 </pre> <br />
Shorewall käivitatakse 120 sekundiks.<br />
<br />
=Teenus (start/stop/restart/status)=<br />
<br />
<pre> service shorewall start - teenuse käivitamine </pre><br />
<pre> service shorewall stop - teenuse seiskamine </pre><br />
<pre> service shorewall restart - teenuse taaskäivitamine </pre><br />
<pre> service shorewall status - teenuse oleku kuvamine (iptables reeglid, loodud ja loomisel ühendused, ...) </pre><br />
<br />
<br />
=Probleemid=<br />
<br />
Ära installeeri shorewalli kaughaldusena (muidu lõikad näppu ja ei pääse kaugelt süsteemile ligi).<br />
<br />
Kui shorewalli konfiguratsioonifailides on probleem, siis peaks vaatama logifaili<br />
<pre> less /var/log/shorewall-init.log </pre><br />
<br />
Logimine<br />
<br />
shorewall show log - näitab viimast 20 logitud rida<br />
shorewall logwatch - näitab logi teatud intervalliga<br />
shorewall dump - shorewall probleemide tuvastamiseks <br />
<br />
(erinevad võimalused: add, allow, check, clear, help, forget, hits, ipcalc, iprange, refresh, reject, show, try, )<br />
<br />
=Varundamine=<br />
<br />
Varundada on vaja konfiguratsioonifailid (näiteks asuvad konfiguratsioonifailid /etc/shorewall/ kaustas).<br />
<br />
<pre>ls -la /etc/shorewall/ - kuvatakse kausta shorewall sisu</pre> <br />
<br />
<pre>tar -zcp /etc/shorewall > /root/shorewall_reeglite_varu.tar.gz - pakime konfiguratsioonifailid kokku</pre><br />
<pre>cp -r /etc/shorewall > /root/varundamisekaust/shorewall - kopeerime failid varundamise kausta</pre><br />
<br />
=Eemaldamine=<br />
<b> Debian, Fedora, RedHat, Suse, Centos, Ubuntu, ... </b><br><br />
<pre> apt-get remove shorewall </pre><br />
<br />
<pre> yum remove shorewall</pre><br />
<br />
=Kokkuvõte=<br />
<br />
Shorewall tarkvara on lihtne paigaldada ja hallata. Shorewall projektiga tegeletakse aktiivselt edasi ja soovitan huvilistel olla kursis uudistega, mille leiad järgnevalt [http://www.shorewall.net/News.htm lingilt].<br />
<br />
=Kasutatud kirjandus=<br />
* http://www.shorewall.net/<br />
* http://en.wikipedia.org/wiki/Shorewall<br />
* http://en.wikipedia.org/wiki/Netfilter<br />
* http://www.netfilter.org/<br />
* http://www.frozentux.net/documents/iptables-tutorial/<br />
* http://easyfwgen.morizot.net/gen/ - hea tulemüüri reeglite genereerimiseks<br />
<br />
<br />
[[Category:Operatsioonisüsteemide administreerimine ja sidumine]]</div>Rkolga