Hello Guest, if you reading this it means you have not yet registered. Please take a second to Click here to register and in a few simple steps, you will be able to enjoy all the many features of our fine community. Please note that nicknames are prohibited lewd or meaningless (no numbers or letters at random) and introduce yourself in the section for you to meet our community.
[HOW-TO] Shorewall dla leniwych
Pokaż wyniki od 1 do 3 z 3

Temat: [HOW-TO] Shorewall dla leniwych

  1. #1
    Avatar motto
    motto jest nieaktywny Jaskółka Europejska
    Mężczyzna
    Dystrybucja: Debian GNU/Linux
    Dołączył
    Oct 2003
    Skąd
    Włocławek
    Wiek
    41
    Postów
    939
    Wątków
    101
    Siła Reputacji
    32
    Reputacja
    1

    Wykrzyknik Shorewall dla leniwych czyli małe howto...

    Poniższy przykład to pliki konfiguracyjne z 3 sieciówkami który
    ma robić za mały routerek (do każdej siecówki jeden klient). Mam nadzieję,
    że opis ten zachęci co poniektórych do używania shorewalla, który na
    marinesie jest bardzo potężnym i bardzo wydajnym narzędziem. Poniższy
    przykłąd nie pokazuje nawet połowy jego możliwości.... Aha kolejnośc w
    jakiej wypisane są pliki nie jest przypadkowa, ma ona pomóc zrozumieć
    logikę tego narzędzia. Zaczyamy:

    Kod:
    [/etc/network/interfaces]
    ================================
    auto lo
    iface lo inet loopback
    
    auto eth0
    iface eth0 inet static
        network <adres_sieci_twojego ISP>
        address <twoj_adres_w sieci_ISP>
        broadcast <adres_broudcast_sieci_twojego_ISP>
        netmask <maska_sieci_twojego_ISP>
        geteway <domyślna_brama_dla_ciebie_w_sieci_twojego_ISP>
    
    auto eth1
    iface eth1 inet static
        network 192.168.0.0
        address 192.168.0.1
        ###client address  192.168.0.2
        broadcast 192.168.0.3
        netmask 255.255.255.252
    
    auto eth2
    iface eth2 inet static
        network 192.168.0.4
        address 192.168.0.5
        ###client address  192.168.0.6
        broadcast 192.168.0.7
        netmask 255.255.255.252
    
    auto eth3
    iface eth3 inet static
        network 192.168.0.8
        address 192.168.0.9
        ###client address  192.168.0.10
        broadcast 192.168.0.11
        netmask 255.255.255.252
    Kod:
    [/etc/shorewall/shorewall.conf]
    =======================
    LOGFILE=/var/log/messages
    LOGFORMAT="Shorewall:%s:%s:"
    LOGTAGONLY=No
    LOGRATE=10/minute
    LOGBURST=5
    LOGALLNEW=
    BLACKLIST_LOGLEVEL=
    LOGNEWNOTSYN=info
    MACLIST_LOG_LEVEL=info
    TCP_FLAGS_LOG_LEVEL=info
    RFC1918_LOG_LEVEL=info
    SMURF_LOG_LEVEL=info
    BOGON_LOG_LEVEL=info
    LOG_MARTIANS=No
    IPTABLES=
    PATH=/sbin:/bin:/usr/sbin:/usr/bin:/usr/local/bin:/usr/local/sbin
    SHOREWALL_SHELL=/bin/sh
    SUBSYSLOCK=""
    STATEDIR=/var/lib/shorewall
    MODULESDIR=
    CONFIG_PATH=/etc/shorewall:/usr/share/shorewall
    RESTOREFILE=
    FW=fw
    IP_FORWARDING=On
    ADD_IP_ALIASES=Yes
    ADD_SNAT_ALIASES=Yes
    RETAIN_ALIASES=Yes
    TC_ENABLED=No
    CLEAR_TC=Yes
    MARK_IN_FORWARD_CHAIN=No
    CLAMPMSS=No
    ROUTE_FILTER=Yes
    DETECT_DNAT_IPADDRS=Yes
    MUTEX_TIMEOUT=60
    NEWNOTSYN=Yes
    ADMINISABSENTMINDED=Yes
    BLACKLISTNEWONLY=Yes
    DELAYBLACKLISTLOAD=Yes
    MODULE_SUFFIX=
    DISABLE_IPV6=No
    BRIDGING=No
    DYNAMIC_ZONES=No
    PKTTYPE=Yes
    DROPINVALID=No
    RFC1918_STRICT=No
    MACLIST_TTL=
    BLACKLIST_DISPOSITION=DROP
    MACLIST_DISPOSITION=REJECT
    TCP_FLAGS_DISPOSITION=DROP
    Kod:
    [/etc/shorewall/modules]
    ==================
    loadmodule ip_tables
    loadmodule iptable_filter
    loadmodule ip_conntrack
    loadmodule ip_conntrack_ftp
    loadmodule ip_conntrack_tftp
    loadmodule ip_conntrack_irc
    loadmodule iptable_nat
    loadmodule ip_nat_ftp
    loadmodule ip_nat_tftp
    loadmodule ip_nat_irc
    loadmodule ip_queue
    Kod:
    [/etc/shorewall/interfaces]
    ===================
    -       eth0    -       -
    -       eth1    -       detectnets,dhcp,tcpflags,nosmurfs
    -       eth2    -       detectnets,dhcp,tcpflags,nosmurfs
    -       eth2    -       detectnets,dhcp,tcpflags,nosmurfs
    Kod:
    [/etc/shorewall/hosts]
    ================
    net     eth0:0.0.0.0/0
    loc    eth1:192.168.0.0/30
    loc     eth2:192.168.0.4/30
    loc     eth3:192.168.0.8/30
    Kod:
    [/etc/shorewall/zones]
    ================
    net     Internet        Internet
    loc     LAN             LocalAreaNetwork
    Kod:
    [/etc/shorewall/policy]
    ================
    loc     all     ACCEPT          -
    fw      all     ACCEPT          -
    net     all     DROP            -
    all     all     REJECT          -
    Kod:
    [/etc/shorewall/masq]
    ================
    eth0     eth1
    eth0     eth2
    eth0     eth3
    Kod:
    [/etc/shorewall/rules]
    ================
    (tu na razie nie wpisałem nic, bo nie wiem czy będzisz chiał coś wystawiać
    na zewnątrz, pusty plik jednak utwórz)
    Jak masz wszystko to piszemy z roota:

    Kod:
    # shorewall check
    (...)
    Configuration Validated
    
    Notice:  The 'check' command is provided to catch
             obvious errors in a Shorewall configuration.
             It is not designed to catch all possible errors
             so please don't submit problem reports about
             error conditions that 'check' doesn't find
    # shorewall start
    Powinno banglać.

    Jak chcemy aby shorewall startował wraz z systemem w
    pliku /etc/default/shorewall zmieniamy "startup=0" na "startup=1".
    Mam nadzieję, że się podoba opis.
    Pozdrawionka
    Ostatnio edytowane przez Sir_Yaro ; 12.01.2006 o 14:17
    Tomasz 'motto' Motyliński
    Linux jest dla leniwych, raz zainstalowany działa wiecznie

  2. Panna Google
    Panna Google jest aktywna
    Avatar Panny Google

    Dołączył
    01-05-2004
    Skąd
    Internet
    Postów
    999
    Pochwał
    159

    Nie lubisz reklam? Zarejestrowani ich nie widzą! Rejestracja







  3. #2
    Dołączył
    Jan 2004
    Skąd
    Ząbkowice Śląskie
    Wiek
    57
    Postów
    5,645
    Wątków
    277
    Siła Reputacji
    136
    Reputacja
    1410

    Odp: [HOW-TO] Shorewall dla leniwych

    Fajnie, a mam pytanko jak się sprawuje Interaktywna zapora sieciowa w Mandriva 2006 która po ustawieniu na poziom bezpieczeństwa wysoki sama instaluje odpowiednie oprogramowanie IPtables itp i od czasu do czasu wyskakuje mi :Uwaga skanowanie Portów Mojego komputera" Co mam w takiej sytuacji robić? na ile to jest bezpieczne - dla komputerów domowych .....Lex
    Jak to się zaczęło?
    Linux User 363394

  4. #3
    Avatar szuwa 64
    szuwa 64 jest nieaktywny Mugol chmielowy
    Mężczyzna
    Dystrybucja: MDV 2008.1 ,lap - Aptosid "Κῆρες
    Dołączył
    Dec 2005
    Skąd
    Lublin
    Wiek
    54
    Postów
    841
    Wątków
    68
    Siła Reputacji
    64
    Reputacja
    551

    Odp: [HOW-TO] Shorewall dla leniwych

    wszystko fajnie - zwei mal ,aber...w Mandrake miałem shorewall a w mandrivie firestarter,który własciwie nie wiem co robi-raz ma ikone niebieską a raz z czerwonym piorunem ,nic do mnie nie mówi-jak poczciwe Zone-alarm we Windzie...sam nie wiem...kazali to zainstalowałem ale ...no i jak zrobić żeby startował z systemem jak to się edytuje :startup=0 na startup=1?Wkurzające jest to jego wolanie o hasło roota przy każdym uruchomieniu systemu.

Informacje o wątku

Users Browsing this Thread

Aktualnie 1 użytkownik(ów) przegląda ten wątek. (0 zarejestrowany(ch) oraz 1 gości)

Uprawnienia

  • Nie możesz zakładać nowych wątków
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •