Shorewall

From ICO wiki
Revision as of 12:57, 10 April 2010 by Rkolga (talk | contribs)
Jump to navigationJump to search


Autor: Ragnar Kolga - AK32

Sissejuhatus

Shorewall lihtsustab tulemüüri konfiguratsioonide loomist. Võrgud jagatakse tsoonideks ja ...

1. Alustuseks tuleks luua üldine võrgu skeem.

Järgnevalt tooksin välja tegevused shorewalli konfiguratsioonifailidega (abiks edaspidistel tegevustel ja tekib parem ettekujutus toimuvast).

Fail Tegevus

   Zones                                    Võrgu jagamine tsoonideks 
   Hosts, Interfaces                        Defineeritakse tsoonid tulemüüri liideste ja ip aadressitega    
                                            Defineeritakse erinevate tsoonide võrguliikluse piirangud
   Policy                                   Tsoonide vaheline ligipääs
   Rules                                    Määratakse teenuste kaupa ligipääsu reeglid
                                            Määratakse destination NAT (D-NAT) reeglid
   Masq                                     Määratakse Source NAT (S-NAT) reeglid
   Shorewall.conf                           Üldise konfiguratsioonifaili määrangud
   ...                                      Muud piirangud


Installeerimine

Debian, Fedora, RedHat, Suse, Centos, Ubuntu, ...

 apt-get install shorewall 
 yum install shorewall
 up2date -i shorewall 


Kopeerime näidis konfiguratsioonifailid /etc/shorewall kausta (Debian)

 cp /usr/share/doc/shorewall/default-config/* /etc/shorewall/ 

Failid

Konfigureerimine

Zones (tsoonid)konfiguratsioonifail

Ühe tsooni piires kehtivad ühensugused tulemüüri reeglid. Kõigepealt tuleb konfigureerida erinevad võrgu tsoonid. Kirjeldada tuleb tsoonidele nimed. Näiteks välisvõrk net (interNET) ja sisevõrk loc (LOCal või private).

Lisaks kaks tsooni: fw - liiklus tulemüürist välja ja edasi tulemüüri teenustele dmz -Demilitarized zone (avalikud serverid)



--- konfiguratsioonifailist ---

  1. ZONE TYPE OPTIONS IN OUT
  2. OPTIONS OPTIONS


#       ZONE            Short name of the zone (5 Characters or less in length).
#       DISPLAY         Display name of the zone
#       COMMENTS        Comments about the zone
#
#ZONE                   DISPLAY         COMMENTS
net                     Net             Internet(Valisvork)
loc                     Local           Local LAN(Sisevork, privaatne_vork)


Interfaces ( ) konfiguratsioonifail Võrguliideste defineerimine. Siin määrame milline võrguliides vastab tsoonifailis oleva kirjeldusega.

--- konfiguratsioonifailist ---

#ZONE    INTERFACE      BROADCAST       OPTIONS
net      eth1           193.xxx.xxx.xxx    routefilter
loc      eth0           172.xxx.xxx.255    dhcp,routeback

Zone - tsoon mis on defineeritud zones failis. Interfaces - võrguliidese nimi. Broadcast - Options -

Policy () konfiguratsioonifail (General plan of action - tegevusplaan)

#SOURCE ZONE   DESTINATION ZONE   POLICY   LOG LEVEL   LIMIT:BURST


Rules (reeglid) konfiguratsioonifail Kõige tähtsam konfiguratsioonifail. Reeglite failis määratakse mis on lubatud ja keelatud. Kõikide uute ühenduste loomisel kontrollitakse tulemüüri reegleid.

#ACTION     SOURCE          DEST       PROTO       DEST
#                                                  PORT(S)


shorewall.conf



Kui tulemüüri reeglid on paigas võiks proovida teenust käivitada teatud perioodiks, vältimaks ligipääsu probleeme ...

 shorewall try /etc/shorewall 120 

Shorewall käivitatakse 120 sekundiks.

Teenus (start/stop/restart/status)

 service shorewall start   - teenuse käivitamine 
 service shorewall stop    - teenuse seiskamine 
 service shorewall restart - teenuse taaskäivitamine 
 service shorewall status  - teenuse oleku kuvamine (iptables reeglid, loodud ja loomisel ühendused, ...) 


Probleemid

Kui shorewalli konfiguratsioonifailides on probleem, siis peaks vaatama logifaili

 less /var/log/shorewall-init.log 

Eemaldamine

Debian, ...

 apt-get remove shorewall 


Ubuntu, ...

 yum remove shorewall


RedHat, ...

 up2date -***** shorewall 


Kokkuvõte

Kasutatud kirjandus