Mit der Shorewall-Firewall ist es sehr einfach, Firewall- / Firewall-Regeln mit iPtables zu erstellen. Shorewall steht unter einer BSD-Lizenz (die Sie ändern und für den gewerblichen Bereich verwenden können oder nicht). Beginnen wir mit der Installation von Shorewall, wo wir das ej mit einer Debian- oder Ubuntu-Distribution veröffentlichen (Sie können leicht eine andere verwenden).
Wir betraten das Terminal im Root-Modus und schrieben:
Apt-Get installieren Shorewall
Es muss aktiv sein, dass der Boot-Dienst dies automatisch mit dem tut, was wir in / etc / default / shorewall eingeben und ändern:
Start = 0 durch Start = 1
Wir werden die Firewall konfigurieren, wir kopieren die Konfigurationsdateien, die wir standardmäßig haben (Standard):
cp / usr / share / doc / shorewall-common / degault-config / etc / shorewall cp / usr / share / doc / shorewall / degault-config / etc / shorewall
Jetzt müssen wir zwei Zonen erstellen (können mehr sein), in diesem Fall LAN und WAN, unser LOKALES NETZWERK und INTERNET, dafür bearbeiten wir die Datei:
/ etc / shorewall / areas
############################################################################## ######################### #ZONE TYPE OPTIONEN IN OUT # OPTIONEN OPTIONEN fw Firewall lan ipv4 # wan ipv4 # #LAST LINE - FÜGEN SIE IHRE EINTRÄGE ÜBER DIESEM HINZU - ENTFERNEN SIE NICHT
Wir erstellen die erforderlichen Richtlinien wie:
- fw-lan
- fw-wan
- Lan-Wan
- lan-fw
- Wan-Lan
- wan-fw
Wir werden eine Edition der Datei / etc / shorewall / policy erstellen
############################################################################## ######################### # QUELLENSCHUTZPOLITIKLOGGRENZWERT: BURST # LEVEL local $ FW ACCEPT lokales Netz AKZEPTIEREN $ FW local ACCEPT $ FW netto AKZEPTIEREN DROP lokales Netz netto $ FW TROPFEN #LAST LINE - NICHT ENTFERNEN
Wir haben die allgemeine Konfigurationsdatei von Shorewall: shorewall.conf hier haben wir Variablen, die wir auf nützliche Weise ändern müssen, wie zum Beispiel die folgenden:
- STARTUP_ENABLED: Wenn wir nicht “Ja” setzen, kann die Firewall keine Konfigurationen ändern. Dies ist eine eindeutige Sicherheitsmaßnahme.
- ADMINISABSENTMINDED: Einstellung NO (nur der Adressdatenverkehr, den wir in / etc / shorewall / routestopped eingegeben haben, wird zum Stoppen der Firewall verwendet.
Vergessen Sie nicht, Regeln zu konfigurieren, die uns erlauben zu sagen, dass wir akzeptieren und dass wir nicht akzeptieren, um Probleme und Angriffe zu vermeiden. Dazu bearbeiten wir die folgende Datei:
/ etc / shorewall / rules
############################################################################## ############################################################################## ##################### #ACTION SOURCE DEST PROTO DEST SOURCE ORIGINAL RATE BENUTZER / MARK # PORT PORT (S) ZIELGRENZGRUPPE # ABSCHNITT ERRICHTET # ABSCHNITT VERWANDT ABSCHNITT NEU ACCEPT net local tcp 80 #LAST LINE - FÜGEN SIE IHRE EINTRÄGE VOR DIESEM EINZELNEN EIN - ENTFERNEN SIE NICHT
