Cài đặt và cấu hình Shoreline Firewall – Shorewall (Phần 2)

[toilamweb] Cài đặt và cấu hình Shoreline Firewall – Shorewall (Phần 2)
Bước #1: Define network zones
Sửa /etc/shorewall/zones
#nano /etc/shorewall/zones
Thêm đoạn mã sau:

#ZONE                  TYPE                      OPTIONS                 IN                      OUT

#                                                                                              OPTIONS                OPTIONS
fw      firewall
net     ipv4

Giải thích cho đoạn trên:
fw      firewall  – có thể tạm hiểu đây là định danh cho firewall của bạn. Dùng để định danh vùng firewall được chỉ định. Được lưu vào biến $ FW dùng cho các cấu hình sau này.
net     ipv4 – cũng tương tự như fw.

Bước #2: Create interfaces
Tiến hành sửa file sau:
# nano /etc/shorewall/interfaces
Thêm đoạn mã sau:


#ZONE                                  INTERFACE          BROADCAST                       OPTIONS

net                         eth0                       detect                                    tcpflags,logmartians,nosmurfs


net – chỉ định vùng card mạng của bạn(e.g eth0). Lưu ý, phần cấu hình này phải thật sự chính xác.
Detect – đây là giá trị tùy chọn. nhưng nếu bạn điền giá trị detect thì Shorewall sẽ xác định các địa chỉ broadcast (broadcast address) cho bạn nếu iptables và kernel hổ trợ.
tcpflags,logmartians,nosmurfs – danh sách tùy chọn , có nhiều tùy chọn khác bạn có thể xem thêm ở http://www.shorewall.net/manpages/shorewall-interfaces.html
tcpflags – các gói tin gửi đến interface này sẽ được kiểm tra bởi TCP flags.
logmartians – bật kernel martian logging .
nosmurfs – lọc các gói tin cho smurfs
Bước #3: Define shorewall policy
Sửa file /etc/shorewall/policy
# nano /etc/shorewall/policy
Thêm đoạn mã sau:


#SOURCE         DEST            POLICY          LOG LEVEL       LIMIT:BURST

fw              all             ACCEPT

net             all             DROP            info

# The FOLLOWING POLICY MUST BE LAST

fw – firewall zone

net – internet zone


Trong ví dụ này, tôi cho phép toàn bộ lưu lượng đi qua fw. Tuy nhiên toàn bộ lưu lượng từ net zone đều bị loại bỏ.
Bước #4: Open required ports (if any)
Sửa /etc/shorewall/rules
# nano /etc/shorewall/rules
Thêm đoạn mã sau:


#####################################################################################

#ACTION         SOURCE          DEST            PROTO   DEST    SOURCE          ORIGINAL        RATE            USER/   MARK

#                                                       PORT    PORT(S)         DEST            LIMIT           GROUP

ACCEPT          net             $ FW:192.168.1.5 TCP     9500

ACCEPT          net             $ FW:192.168.1.5 UDP     9500

# Drop Ping from the "bad" net zone.. and prevent your log from being flooded..

Ping(DROP)      net             $ FW


Trong ví dụ này, tôi cho phép toàn bộ lưu lượng bittorrent TCP/UDP trên port 9500 .
How do I start / stop / restart shoewall?
/etc/init.d/shorewall start
/etc/shorewall/rules stop
/etc/shorewall/rules restart
How do I see currently loaded firewall rules?
# shorewall show | less
How do I see the IP connections currently being tracked by the firewall?
# shorewall show connections
How do I see zones?
# shorewall show zones
How do I see firewall logs?
# shorewall hits
Bạn có thể truy cập trang chủ của project theo link sau để tham khảo thêm http://shorewall.net/

Nguồn : http://toilamweb.vn

Thiet ke web hai phong