|
我一直在用shorewall做防火?,我看到有人在?shorewall
我把我以前在?上看到的文件?出?(?接已不可找,?作者?欠)
在使用中如有??可一起??一下!
防火??shorewall
前言
近年?,?路安全的??愈?愈受重?,但是?是有愈?愈多的企?主或是?工受到非法入侵的?害,?什??有???象呢?因?很多人都?抱持著不?那??好的?生在自已身上的心?,而近年?的攻?形?的改?,?更多的使用者措手不及,自已突然成了受害者,?修?的能力也?有,根??查,每年美?因受?路攻?的?失高? 100?美元,每年入侵事件的回?的次?愈?愈多,以下是cert??至2002年底?止,入侵事件的次?。
年份 1arrayarray5 1arrayarray6 1arrayarray7 1arrayarray8 1arrayarrayarray 2000 2001 2002
?量 171 345 311 262 417 10array0 2437 412array
而2003年的前二季也高?了1arrayarray3次之多,?示在美???高?路化的?家,?路安全的事件也是?出不?,再加上近年?恐?攻?行?也有部份是由?路??行??的?送,或者是????型的攻?行?,造成全球??的大?失。有?於此,各?政府的??管理部?都?始重???安全,美?fbi?美???安全??csi曾?指出,包含大型的美?企?、????、大?,及政府?位等??中,曾有百分之九十曾??到有遭受?安全侵害,大概有百分之七十的?位遭到比病毒更?重的侵害,?乎一半的?位宣??路入侵、攻?的行?,?他??生??的?失,攻?的手法各式各?,包含了?部的?用及外部的攻?。
以下介???比?常?的攻?手法??者??考一下:
1.?瞄 (scanning)
通常在cracker或是hacker?始要?行入侵的?候,?事先?情?搜集好,比方?使用snmp此?的port??工具,或是利用ping???等,?他?收集了愈多的情?,?然就愈有把握入侵使用者的系?了。
2.阻?服? (denial of service,dos)
?一?的攻??乎都?造成伺服器的??,使得主??法提供服?,攻?者可以利用持??送不完整的封包方式,?伺服器??回?,自然其他的服?就受到影?,比如?利用?件炸?之?的。
3.分散式阻?服? (distributed denial of service,ddos)
和dos很像,只不?dos是由?台主??行攻?,而ddos?是利用?路上被入侵的主?,?同一台服?器?行dos攻?,使得伺服器?法承受主?所能?理的程序而??。
4.?取 (sniffing)
?一?的攻?通常都是?客?端及伺服器端或是伺服器?伺服器的通?中?取??的,攻?者通常都?抓取tcp/ip?定的封包,?之重?或解?後就可以得到使用者的密?或者是重要的??等,一般市面上?的sniffer或者是fluke之?的?管??即是其中一?,像linux中的snort也有?似sniffer的功能,若是有心人士在伺服器或是?域?路中安?此?的??,那??路就可能?出??料被?用的危?。
5.劫持 (hijacking)
?是另一?在???在通?中?行攻?的手法,通常是??通?中的??,由攻?的第三者?其中之一的?器?行攻?,?其中之一的?器被??後,第三者就??成?其中的一??器,???另一台?器?行通?,??就可以接受另一台?器的??。
6.?? (physical)
??部份其?是非常容易就?成的,?想,假?公司的mis人?疏忽了???路的重要性的?,那??公司的有心人士要?取公司的重要?料,?可以利用很多方式,比如?利用????送,或者可以在一??段中接一?hub出??取??(可用vlan?防?),或者是直接到主?旁?行破?,?些都是有可能?生的,所以??系?的??管理,也是不容忽?的。
7.系?漏洞 (bug)
?有一?作?系?或是程序是???有??的,比如linux上的sendmail套件,windows的iis套件,都是?名昭彰的,不管任何的系?,一定都?有??,攻?者就是利用?些?漏洞??行入侵的?作,管理者????注意漏洞的更新,?少被入侵的??。
8.後? (back door)
??事件的?生多半伴?著系?漏洞??生,有?也是程式??人?在程式中?留下特殊的密?,可以直接?入系??取得管理者的?限,大部份的後?都是不?人知的,但一旦被??可是都很?重的。
array.社交工程 (social engineering)
可以靠欺?的手段??行,也可以利用??之便?接近,?些都是利用社交工程??行取得?方?料的手段,例如商??碟等。
假?您想要百分之百防堵以上所有的攻?型?的?,很抱歉,除非您把伺服器的?源??拔了,不然???法做到arrayarray%的安全,那?有1%跑到那去了?注意最後一?,就是社交工程。
?然,?者?不是叫大家把伺服器的服?都?停掉,那不就天下大?了?,在此篇?子?的主?中所要介?的,是防火?(firewall)的部份,???的介?一下防火?能??到的功能。
防火?的功能及??
防火?是?路安全的第一道防?,很多??都?在伺服器或者是路由器上建立防火?的?制,??定哪些通?可以通?,哪些?不行,防火?的目的在於??一些不必要的通?,以?少被入侵的??,但是它?不能避免所有的?路攻?行?,防火?主要分成三?,分?如下:
1.封包??(packet-filtering firewall)
2.?用?防火?(application firewall)
3.?路?防火?(circuit-level firewall)
?今在企?中主要的?用?nat(network address translatino,?路位址??)、vpn(virtual private network,??私有?路)及proxy(代理伺服器),如果要以??的?置??分的?,那?又可以分?硬?式防火?和??式防火?。
?名思?,硬?式防火?就是??用??行防火?功能的?器,一般??此??品都是有特?的硬??格,?且提供制式的?格?使用者?用,如果要另加功能(比方?是vpn)及使用者人?的?,那?就要另加?用,通常此?型的防火?,最少都要三、四?元以上,而且都有人?的限制,台??常?的就是netscreen及sonicwall??家。
而??式防火?就是一套套?的??,一般??就是?一台伺服器或是pc搭配,配置於企??路的最外?,直接保?企??路不直接的????路接?,??型的防火?分成二?部份,一是商???,常?的有微?的isa server、check point的firewall-1,而另外就是opensource的解?方案,常?的就是大家熟知的iptables,另外?有一套就是今日的主角--shorewall。
shorewall ?介
shorewall是一套功能?大的防火???,是一套很棒的 netfilter 整合工具,它把iptables, ip, tc...等一堆常?的netfilter 指令都整合起?,把原本???懂的的指令集通通?成?定?,再搭配一些??的?法,可以?linux的系?管理人?不再需要去查?一堆很?懂的指令,只要??定??,?且搭配shorewall的?定?,就可以?易的完成那些商?防火?套件的功能。
另外,在使用shorewall的?候也具有很高的?性,管理者可以在?定?中依喜好?定各???,因此,shorewall?套??可以用在一台同??有路由器/防火?/?道器的linux伺服器中,而且?乎netfilter所支援的功能,shorewall都可以做到。
除了?指令整合到?定?之外,shorewall也可以定?介面的代?,比方?一??部?路1array2.168.1.0/24就可以定??一?loc的??,那?就可以用很??的???代表?部?路的???定,??子的?,?定的??就?更加的??易懂,??的?定?在以後的?子??容?行?明。
shorewall 功能?明
除了?定上的便利性之外,shorewall也支援以下的功能,列表如下所示:
1. 使用netfilter的????的能力,用在??封包??的功能上。
2. 可以使用在路由器/防火?/?道器的?用上。
3. 可以完整的自??定?的?容。
4. ?有限制?路介面的?目(isa server 2000只允?三??路介面)。
5. 除了文字介面外,在webmin1.060版之後,也可以使用?形介面?管理。
6. 支援?多位置管理/路由?定,列表如下。
masquerading/snat
port forwarding(dnat)
one-to-one nat
proxy arp
netmap(核心2.4版本需修?或是在版本2.6以上)
7. 可以??一的ip或是整?子?路列入黑名?中。
8. 可以使用指令???、停止或是清除防火???。
array. 支援???控,???特?的封包?出提示的?息。
10.支援vpn,列表如下。
ipsec
gre
ipip
open vpn tunnels
pptp
11.可支援??整合的?制,但是需要外加的?置。
12.支援各?gnu/linux的套件。
13.支援mac(media access control)位址的???制。
14.流量??
15.支援bridge(核心2.4版本需修?或是在版本2.6以上)
??
????,shorewall可以解??多linux?管人?心中的痛苦,因?管理一?linux的防火?是一件很?人的事情,就算???的再好,也是有一大串的指令必需自已?自撰?,就算?好了,在修正的?候也是件大工程,如果是小?模的就?好,但是如果同??有??介面..然後每?介面都要?上?十行的指令的?,那?就不是件??的事了,重?是,使用shorewall?套open source的防火???,完全不用受制於商?套件的限制,??企?主??,也是一?很不?的??。
下?及安?
1、下?
shorewall的官方?址?,在安?之前先要去下?它的原始?程式,位址在???面,您可以??一?mirror站台?下?,?者是??usa的站??下?,?入?面之後,??一?您想要使用的版本,?者在撰?此?文件?,最新的版本已?出到了2.1.5,它的更新速度非常的快速,每隔一、二星期就?有新的版本出?,不??有??,shorewall在更新的同?,也可以直接?行版本的更新,在稍後?者??行介?。
在???入2.1.5(2004/8/1array)版之後,???看???版本,一?是rpm形式的套件,另一??是tarball形式的原始?,??一?您要使用的版本下?即可,接下??行到安?的步?。
2、tarball安??程
?shorewall-2.1.5.gz上?到主?上,?且使用下列的指令?行安?即可:
# tar zxvf shorewall-2.1.5.gz
# cd shorewall-2.1.5
# ./install.sh
3、rpm安??程
?shorewall-2.1.5-1.noarch.rpm上?到主?上,?且使用下列的指令?行安?即可:
# rpm -ivh shorewall-2.1.5-1.noarch.rpm
4、反安??程
tarball:
?在原?的安?目?中?入以下的指令:
# ./uninstall.sh
??指令??shorewall的所有?定??移除掉。
rpm:
# rpm -e shorewall
5、升?方式
tarball:
# tar zxvf 最新版本??.gz
# cd 最新版本??
# ./install.sh
# shorewall check
# shorewall restart
rpm:
# rpm -uvh --nodeps 最新版本??.rpm
#shorewall check
#shorewall restart
以上??方式就是升?shorewall的方法。
???定?
安?完?後,必需先要?定各??定?才能??shorewall,在???要特?注意,shorewall不是一?daemon的程式,它是一??入指令的套件,所以??指望使用ps -ax??的指令?查?它的行程,接下?的部份就分??明各??定?的功能及格式。
1、/etc/shorewall/shorewall.conf
shorewall.conf???定?是整???配置中最重要的一??案,?面有?多的?定,若是搞?的?,很可能?造成shorewall的??失?或是?作不正常,?者在此就介????常更改的?定????者?考:
startup_enabled=yes
??是?no,如果您?定要使用shorewall?管理您的防火?的?,那??烈的建?您??????定?yes。
logfile=/var/log/messages
?定???的位置,??的???是messages???案,您也可以指定另外的?案,以?分防火?及一般?息,便於除???能快速掌握??。
lognewnotsyn=info
?定???的等?,一般??shorewall的??是由syslog??程式??行,一共有八?,而shorewall??的??等??info,您可以?考/etc/syslog.conf??解其他等?的???容?何。
config_path=/etc/shorewall:/usr/share/shorewall
?定shorewall的所有配置?所存放的目?位置?何,如果您的?定?不是放在??位置的?,?自行修改至正?的路?。
fw=fw
??的防火?介面名?,在shorewall中,??定一?防火?的zone名?,??名?不需要在/etc/shorewall/zones中定?,直接可以在各??定?中使用。
ip_forwarding=on
??是打?的,????代表是??ip forward的功能,如果您的linux主?是?立型的主?,?不需要使用到nat或者是dnat等功能的?,那?????就可以把它???。
完成?定後就可以存???了。
接著下??者就以一?最??的?路架??做??定的例子,以一台linux主??主要?位,有??乙太?路卡,eth0是?外部的?路卡,而eth1?是??的?路卡,?部?域?路透?nat??到外部?路,而?台linux主?同?具?有?易防火?的功能,??下面的各??定?案做?明。
2、/etc/shorewall/zones
在zones???案中,您可以定?您的?路?域代?,限制在5?或5?字元之下,?共有三??位,分??明如下:
zone:定?的名?,限制在5?或5?字元以下。
display:??介面所?示的名?,通常和zone?定是一?的。
comments:???介面的?略?明。
那?在??例子中,?者就定?了二?介面,在zones的?定?容如下所示:
#zone display comments
loc local localhost
net net internet
#last line - add your entries above this one - do not remove
其中loc就是??的?路介面,而net就是?外部?路的?路介面。
3、/etc/shorewall/interfaces
接下?就要建立?路介面及zone的?照表了,前面??eth0是????路的介面,而eth1是??部?域?路的介面,那??定的?容如下所示:
#zone interface broadcast options
net eth0 xxx.xxx.xxx.128
loc eth1 1array2.168.1.255 dhcp
#last line -- add your entries before this one -- do not remove
其中第一??位就是??到/etc/shorewall/zones的zone名?,而第二??位就是??到在linux系?中的介面名?,在??例子中,eth0是?外部?路的介面,所以??到net,而eth1是??部?域?路的介面,所以??到loc,第三??位是?定??路介面的broadcast,如果是c class的?,就是?定成x.x.x.255,以此?推,?者不再此?述,?外的介面, isp公司都?提供一??定的清?,只要照著上面的??填?即可,而最後一?optipns的?位就是??介面要用什??的功能,比方?在??例子中,eth1介面?要??dhcp配?的?作,所以就在options的?位上加入dhcp的??,其他的功能??照interfaces的?解,在此不做太多的?明。
4、/etc/shorewall/policy
???案是?定整?大方向的防火?政策,通常建??安全的方案是先?所有由外而?的政策都?定成?拒?,然後再一?一?的打?可用的port?,所以policy的?定?容如下:
#source dest policy log limit:burst
loc net accept
net all drop info
all all reject info
#last line -- do not remove
其中第一行是允?由?部?域?路?到外部?路,第二行是?所有外部?的封包都??,???到???中,第三行的功能也是一?。
5、/etc/shorewall/masq
???案是?定??部的??ip可以?造真?的ip??出去,也就是nat的功能,?定?容如下:
#interface subnet address
eth0 eth1 xxx.xxx.xxx.xxx
#last line -- add your entries above this line -- do not remove
其中interface是?外的?路卡,而subnet?是??部???路的?路卡,最後的?位address?是?外?卡的真?ip,?入完後就存???。
最後再重新??shorewall的防火?,?依照下列指令重新??
# shorewall check
# shorewall restart
# chkconfig --level 2345 shorewall on
完成!
??
怎??,很??吧!?然??子就完成了最基本的防火?建置,所有由外部??部的服?全部都被??,只??部的??ip以nat的方式??到外部?路,??子就算是成功的建立一座防火?了,可是?於大部份的企???,??的?定?是不?的,所以?者在下一期的?子?中???各位?者介?更??的使用,?各位?者能??易的就架?起自已的防火?。
??元件
上一篇?子?的?容中,?者只介?了??一定用到的?案?做?明,其?shorewall?有很多其他的?定?,在此就再做一次?明,根?不同的需求,?有下面??常用的?定?案:
1、params
?是用??定shell??的一??案,???案有?像是c?言中的include功能一?,把include??的?案的??放到?在???案中,只是在shorewall的?定?中,?不需要再使用include?引入,params???案的目的在於?所有相?的??都?一?定在?面,?您的??全都?定好了之後,只要?更params的?容就可以套用在?的?路??,管理起?非常的方便,以下就是一?例子:
在/etc/shorewall/params中的?定:
net_if=eth0 net_bcast=130.252.100.255
net_options=blacklist,norfc1array18
在/etc/shorewall/interfaces中的?定:
net $net_if $net_bcast $net_options
??子的?,其他的??就都可以使用??的方式??,所以???只要?一次,就可以重覆的使用?!
2、rules
???案是整?shorewall的重??案,有看?前一篇?子?的?者????得一?叫做policy的?案吧?policy?案的目的在於制定整?防火?政策的大方向,比方?loc??介面?dmz??介面的政策是reject或是accept等,通常由防火?外至?部?路的政策都是全部先?定???的,?然也有全?定??放再一???起?的,不?安全的防火?政策??是?於前者,而rules???案?是在制定一些【例外】的??,比方?,您的防火??所有的port都???了,以至於?外不能由ssh????,那????候就可以在rules???案中?定?,它的格式如下所示:
#action source dest proto dest source original
# port port(s) dest
dnat fw loc:1array2.168.1.3 tcp ssh,http
以上的?定是指?送所有fw防火?介面的ssh及http的?求至loc的介面,而ip?1array2.168.1.3的?器上。
在???案中有???常用到的?位,分??明如下,其他?少用的?位在此?者就不多加?明了:
?位名? ?定?目 ?明
action accept 允?????的要求。
accept+ 和accetp一?,但是?排除之後有?redirect-及dnat- 的??。
drop 忽略????的?求。
reject 不接受???的?求,?回覆一?icmp-unreachable或是rst的封包??方。
dnat ?送??封包至另一?系?(或是其他的port?)。
dnat- 只有??的使用才?用到,?和dnat的??一?,但是只?生dnat的iptables的??而且也不是accept成?的??。
redirect 重?????的?求到local的另一?埠?中。
redirect- 只有??的使用才?用到,?和redirect的??一?,但是只?生redirect的iptables的??而且也不是accept成?的??。
continue ?家模式?用,?於??所定?的?源及目的端的?求就?被pass通?。
log ??的??封包??
queue ???封包?放在使用者的?用程式中。
<action> 定?在/etc/shorewall/actions或是/usr/share/shorewall/actions.std中的?作。
source ?源位址,格式可?定以下???式:loc、net(在zones?案中所定?的介面)1array2.168.1.1(ip格式)1array2.168.1.0/24(子?路格式)loc:1array2.168.1.1loc:1array2.168.1.0/24loc:1array2.168.1.1,1array2.168.1.2loc: ~00-a0-carray-15-3array-78(mac address)
dest 目的位址,?定的方式和source一?,但是如果source?定?all?,?有以下的限制:?不允?使用mac address在dnat的??中只允?使用ip address不可同?使用interface及ip
proto 必需是tcp、udp、icmp或是all,或者是?字。
dest port(s) 目的端的埠?,可用?字或名?,在?定???位?,可以用逗?(,)?建立多?埠?清?,也可以用一整???的埠?(1024:2048->意思是?1024到2048之中所有的埠?)?建立清?。
client port(s) 客?端的埠?,???位可以忽略掉。
3、nat
???案主要是用?定?one-to-one型式的nat,所?的"one-to-one"是代表?一?真?ip?所有的服?都?向?部的一???ip,所以通常是一?真?的ip就【只能】指向一???的ip,?通常是用在??台nat主?是只有跑防火?服?,然後所有提供外部服?的主?都是藏在?部??ip的??下,在一般的情?下比?少用到???案,如果想要使用forward或是dnat的功能的?,就不能使用???案??定,必需去?定rules???案才行,有?於nat的?定?容如下所示:
#external interface internal all local
# interfaces
x.x.x.x eth0 1array2.168.1.23
external ?定此台伺服器所要?外的【真?ip】。
interface ?定此台伺服器的?外?路?卡介面名?。
internal ?定想?此真?ip?向?部的??ip位址。
all interfaces 如果不想同?套用到其他的?路介面?,?在此?定?no,如果?空白的?,就只?套用到??介面。
local 如果?????定?yes或yes,?有all interfaces也被?定?yes或yes的?,那?由external?送至internal的封包就?被限制在?部,要????功能的?,核心版本必需要在2.4.1array以上,?且要????config_ip_nf_nat_local的功能,而且iptables的版本要在1.2.6a以上才行。
4、masq
???案是用?架?一般所?的nat伺服器,和前一?的one-to-one的nat不大相同,??所?定的通常是??部的??ip??成真?的?外ip,??部的??ip一?可以在真?的?境中使用,?然也有使用在?的??中,但大部份使用的??都是前者,masq?定的?容如下所示:
#interface subnet address proto port(s) ipsec
eth0 eth1 1array2.168.1.array8
#last line -- add your entries above this line -- do not remove
interface ?定???外部?路的介面名?。
subnet ?定????部?路的介面名?。
address ?定???外部?路的ip位址,????可以不?定。
proto 在此您可以?定的?容?/etc/protocols的服??容。
port(s) 如果在proto的部份?定?tcp或是udp的?,那?在????中就可以?定埠?,或者是服?名?了。
ipsec ?定是否要????路介面的???行加密,如果是空白,就是不需要,如果是yes的?,就??行加密。
?例:
eth0 eth1 206.124.146.177 tcp smtp
eth0 eth1 206.124.146.176
以上的?定?容是代表所有由eth1的tcp?定的smtp封包,都?把ip的???定?206.124.146.177,然後由eth0送出去,然後其?的封包都是?封包的???定?206.124.146.176,然後由eth0送出去。
5、modules
???案??所有iptables所需要的模?都?入?去,??的?容如下所示:
loadmodule ip_tables
loadmodule iptable_filter
loadmodule ip_conntrack
loadmodule ip_conntrack_ftp
loadmodule ip_conntrack_tftp
loadmodule ip_conntrack_irc
loadmodule iptable_nat
loadmodule ip_nat_ftp
loadmodule ip_nat_tftp
loadmodule ip_nat_irc
如果您有其他的模?的?,只要加入modules???案即可。
6、blacklist
???案是?定??的黑名?,您可以在???案中限制某些?路位址的???作,利用???案,您可以?易的把一些不受?迎,或是受限制的ip都?下?,不?他?使用特定的服?,blacklist的?定?容如下:
address/subnet protocol port
address/subnet ?定所要限制的?路位址,或是子?路及mac address,格式分??下列三?:?路位址:1array2.168.1.10子?路:1array2.168.1.0/24mac address:~00-a0-carray-15-3array-78
protocol 在此您可以?定的?容?/etc/protocols的服??容,???位可以??不?定。
port 如果在protocol的部份?定?tcp或是udp的?,那?在????中就可以?定埠?,或者是服?名?了,???位可以??不?定。
?例:
1array2.0.2.126 udp 53
上面?行所表示的是封?由ip 1array2.0.2.126所?求的dns查?服?。
???用
1、?放服?
由於?者在一?始的政策就是?所有由外而?的服?都?封?掉了,所以?在要一?一?的打?,在此?者所要?放的服??http、smtp、pop3、ssh、dns、?有一?port 10000的webmin的服?,那?在rules的?定就?如下所示:
action source dest proto dest port
accept net fw tcp http
accept loc fw tcp http
accept net fw tcp smtp
accept loc fw tcp smtp
accept net fw tcp pop3
accepc loc fw tcp pop3
accept net fw tcp ssh
accept loc fw tcp ssh
accept net fw tcp dns
accept loc fw tcp dns
accept net fw udp dns
accept loc fw udp dns
accept net fw tcp 10000
accept loc fw tcp 10000
以上所有的服?因?都是在?台防火?中,所以dest的?位都是?定?fw??介面,另外因?分?有??及?外的介面,所以每一?服?都??定?次,不?也有另外一??定的方式,如下所示:
shorewall??就有??已??好的?作就放在/usr/share/shorewall目?中,所有的?作都是以action.allow服?名?或是action.drop服?名?,或是action.reject服?名??命名,?然您也可以?定其他的?案名??使用,例如:action.allowssh,?些?案可以自已命名,自成一????取代原有的action?位,?定?容如下所示:
action source dest
allowssh net fw
allowssh loc fw
allowweb net fw
allowweb loc fw
其中前面的名?就是在/usr/share/shorewall目?中所定?的action.[?案名?],其中?案名?就是在action?位中出?的名?,只要在??案中定?好所有的?作,那?在rules?案中,您只需要定??源及位址即可,??子在管理的?候,?非常的方便。
2、msn?理
?者相信有很多mis都想?掉一些奇怪的服?,?然shorewall也可以做到??的功能,在此?者就以msn?做?例,首先必需先要知道msn的??埠?哪一?,?者查?到的msn是1863,而msn??的?站位址?是?gateway.messenger.hotmail.com。
首先?者先?掉gateway.messenger.hotmail.com的所有tcp??,?在rules的?案中加入以下的??:
drop loc net:gateway.messenger.hotmail.com tcp -
接著再?掉??到任何位址的1863埠,?在rules加入以下的??:
drop loc all tcp 1863
??子就可以?掉大部份msn??的服?了,但是其???很好破解,只要在msn的??中,指定使用proxy伺服器就可以破解了,除非您公司自行架?proxy?管理,或是使用?用?的防火?,否?其???也只能?下一般的使用者,???定就?大家?考一下?。
??
其?shorewall在一?始??的?定中,就提供了系?管理者?多的?性?定,只要稍微了解一下iptables的?定原理,就可以很?易的利用shorewall??成原?一大堆指令才能?完成的?作,其?他的功能非常的多,只是限於篇幅,?者??法一次?的太多,相信?多?者都想要?看看倒底有多好用?!?然目前?者介?shorewall?是使用文字介面,但是其?在webmin的模?中,已?有了?形介面的管理程式?,??子的?,使用起??更加的?手。
前言
在前面三期的晟鑫科技?子?的?容中,?者都??了sorewall?套功能?大的防火????行了功能、安?及使用的?明,也?已?有很多的?者都已?感?到?套??是非常的?用,而且易於管理,比起iptable繁?的?法,shorewall真的是?大家?化了不少的?西,?防火?新手而言,?定一?有?模的??已?不再是天方夜?,而?沙?老???,多了一?好用的工具?直是如虎添翼,那?,也?也有?者??,shorewall是否也有?形介面,能?使用者能?更方便的就建立防火?的??呢??者的答案是【有的】,而且它就是webmin,使用webmin?附的介面,就可以?易的?定shorewall的防火?。
?定?境??
由於webmin是一套功能非常?大的linux?形介面管理??,所以它的使用者非常的多,?乎每一台linux主?上面都?安?著?一套管理系?(??上很多?商都?搭配webmin?管理自已出?的linux系?),但是因??者今日的主??不在如何安?webmin,所以在此就省略了安?的步?,?安??的?者可以自行在google的搜?列上查?,?年?在?路上??都找的到了,??是?有什?找不到的了。
在登入webmin的?面之後,由於??就已?有了shorewall的模?了,所以只要直接??【?路】,就可以看到【shorewall firewall】的??了,接著下?再??【shorewall fireall】的?示,就可以?到整??定的?面了。
因?一?始?未初始化shorewall的?置,所以?出?初始的?定?面,如果?者有按照?者的安??程??行的?,那??依照以下的?定值??定:
shorewall configuration directory?填? /etc/shorewall
path to shorewall command?填? shorewall
?定完?之後,?按下【?存】?,?面就?直接跳到主要?定?面,???面就是整?shorewall的?定介面,如此就完成了在webmin?定使用shorewall功能的步?了。
使用?形介面
在???面中?者??可以看到,shorewall的主要?定都是放置在第一排中,第二排的?示中只有masq的部份比?常使用到,其他的部份因?一般的使用者?不常用到,所以?者就不再?行介?,只??先前?子?的??例子?行?定的?明,其他的部份就??者自行???,?竟好的工具都?大家了,相信懂得前?篇?子?的?定,在?型的介面中更??是得心?手才是!
zones
??zones的?示之後,??入到建立??的?面,在???面中?者?看?先前所?定的介面名?,如果要建立新的介面的?,?按下【add a new network zone】,接著下??再看到zones的?定介面:
在???定的介面中,?直接?入?介面的id、?示名?及描述,在?者的?例中,再新增一?介面的id?net2,而它的?示名??net2,描述?second net interface,?定完成後?按下【建立】?,?出?新的??的?,就代表?定成功了。
相信?者???到右?都?有上下方向的箭?,move那?是表示可以?介面的?序做移?,add那??是表是要新增??在????的上面或是下面。
interface
在定?完zones之後,接著下?就要?各?zones定?真?的?路介面,?入interface的?示之後,?看到?定的?面:
??介面?和zones的介面非常的?似,同?的,若要定一?interface的?,?按下【add a new network interface】,?出??定?面。
在???定中,interface是要指定【真?】的?路介面,而zone name?是要??在zones?定中的【id】名?,而broadcast address?是?定??interface的?路遮罩,如果??【automatic】的?,系??自???,而最後的options部份,?是??interface有提供何?功能?,就把它?起?,在此例中?者是??dhcp的部份,?定完成後,按下【建立】後,就成功了。
policy
在定?完所有的介面之後,就要?始?定大方向的政策了,在前一期的?子?中有提到,一般安全的政策都是要?所有由外而?的??都?定?【??】,到?候再?要用的??一一的【打?】,?然您也可以不按照??方式,不??者是以前者的方式做?基?,安全性?比?高,?按下policy的按?,?入?定?面。
同?的,如果要新增一?新的介面政策,?按下【add a new default policy】,在???面中,?者是要?定所有?net2介面?的?求,到任何的介面都是drop的,所以在source zone的?源介面中是??【net2】,而destination zone的目的介面是??【any】,policy政策是??【drop】??,而??的??,?者在此?定?info,而流量?是?限制,?定完成後,按下【建立】即可。
rules
定?完介面的??政策之後,接著下?就是要?定一些??了,在此您可以?放一些?定,使它能?通???防火??行服?,要?定??,?先在?定的?面中??rules的???示,?入到?定的?面。
?面上的??都是之前?者在前一篇的?子??容中就定?好的,?在以smtp?定?例子,如果要?smtp的?求能?通?防火?的?,????面中的【add a new firewall rule】,?出??定?面:
action是填?若符合?????,?做什??作,在此?者是?定accept接受,source zone?是???源的介面名?,由於net是?外部?路的介面,所以就?定??源,destionation zone or port?是?定目?的介面或是port,在此?者是?定firewall?目?介面,protocol?是?定?定,在此是?定?tcp,最後就是?定?源的port和目?port,?源是any,目的port?是smtp的25,?整?的??是指定,【任何由net介面?到firewall介面的smtp?求封包都接受】,?定完成後再按下【?存】?即可。
因??才是?定由外而?的介面,如果local?部?路也需要使用此台防火?上的smtp的服?的?,那?也要?放??路?路,?定的?面如下,大致的??就是【任何由local介面?到firewall介面的smtp?求封包都接受】。
?定完成後一??按下【建立】?即可。
重新??
?防火?的?定?好之後,就可以重新??shorewall防火?的??了,?在?定的主?面中,按下【start firewall】或是【restart firewall】的按?,?程中如果有??的?,?面?出?失?的?息,不????候要注意!如果防火??定??的?,很可能?致您?法由?端??至主?中!??需要多加注意。
??
相信有?多?者看到有?形介面的firewall?定一定都非常的??,?然好用,可是?者?是要提醒各位,在linux下的防火??然功能非常多,但是?是需要使用文字介面的方式?定??比???,如果您只需要一??易的防火?,那?者相信使用webmin的方式就??有?了,如果您是?武林高手,那??者也不敢在此?弄,只是?套?形介面的防火?管理程式,或??可以?足大部份使用者的需求,您?是吧!
shorewall 企业防火墙的完美实现
源码:
=================== 这篇文章绝对原创,作者:xjdong (andy_xjdong ) ===============
=================== 如需转载,请注明出自 linuxsir.org ===============
相信大家一定很想自己做一个企业级应用得防火墙,看到大家在论坛上常常问到类似得问题,现在我将我自己身边得一个防火墙企业级应用实例共享出来,希望能帮到需要帮助得朋友。
第一篇:网络接入情况
现在很多企业有的是用专线接入,有的是用adsl 接入,但最终结果都是一样,就是在互联网上有一个公网ip(或者一个网段)得route 到你得网关服务器上或者接入路由器上。 好了,知道了这点我就来说一下互联网得接入这一部分,我以专线接入为例子:
如图:
源码:
route a
( internet or isp )
/(1array2.168.5.2/255.255.255.252)
/
/\/
/
/ (ip:1array2.168.5.1/255.255.255.252)
(route b)
| (ip 211.111.111.1/255.255.255.0)
|
|_____ (局域网)
当你是专线接入得时候,一般都会有一个专线接入单,上面会有如下相关信息:
1:你得ip地址范围
2:用户端接入ip,以及局端ip
从上图中我们可以看出:
1:isp分配给你得是一个c类公网地址
2:用户端得接入ip 是 1array2.168.5.1,局端ip 是 1array2.168.5.2
好了,下面是我要重点说得了,很多人以为在一个防火墙得外网接口上一定得绑定公网ip,其实这是一个错误得认识,其实只要有 route 信息,你就可以上互联网。怎么以上面得图为例子,在 isp 商得路由器那头,就是绑定 1array2.168.5.2 那个路由器一定有一个 route 信息是这样得:
ip route 211.111.111.0/24 via 1array2.168.5.1
通常得做法就是像如图一样在route b 得以太网口处帮定一个公网ip 211.111.111.1 ,然后大家以这个为网关上网,通常会先接入防火墙,然后后面接局域网用户,如图:
源码:
route a
( internet or isp )
/(1array2.168.5.2/255.255.255.252)
/
/\/
/
/ (ip:1array2.168.5.1/255.255.255.252)
(route b)
| (ip 211.111.111.1/255.255.255.0)
|
|
| (211.111.111.2/24)
|----------|
| firewall |
|----------|
(10.1.2.0/24)/ \(10.1.1.0/24)
/ \
/ \
/ \
(局域网 a) ____/ \_____ (局域网 b)
这是一个很典型得企业应用,我想我说得没错吧,但是我觉得这里面有几个不好得地方:
1:就是公网ip不能很好得管理,在 firewall 和 route b 之间是通过公网ip 连接得,比如通过交换机连接,这样如果有人在交换机上接一个计算机自己随意绑定公网ip 就可以上网了。
2:这是一个c类得ip ,在firewall 上需要绑定很多公网ip ,才能使用这些ip ,这样管理有很多弊端。
好了,说了这么多,下面引入正题,就是分享一下我得防火墙得实际解决方案。
第二篇:网络结构得设计
对于一个c类得公网ip 我们可以重新设计一个网络拓扑:
方案一:就是不对c类网段分段,还是用一个网段,如图:
源码:
route a
( internet or isp )
/(1array2.168.5.2/255.255.255.252)
/
/\/
/
/ (ip:1array2.168.5.1/255.255.255.252)
(route b)
| (ip 1array2.168.1.1/255.255.255.252)
|
|
| (1array2.168.1.2/255.255.255.252)
|----------|
| firewall |
|----------|
(10.1.1.1/24)/ \(10.1.2.1/24)
/ \
/ \
/ \
(局域网 a) ____/ \_____ (局域网 b dmz 服务器区)
注意: 在 route b 上需要添加一个静态路由, ip route 211.111.111.0 255.255.255.0 1array2.168.1.2
好了,这样 firewall 就可以完全控制和分配这 254 个公网ip 了
方案二:就是对c类网段分段,分成两个公网ip网段,有两个防火墙如图:
源码:
route a
( internet or isp )
/(1array2.168.5.2/255.255.255.252)
/
/\/
/
/ (ip:1array2.168.5.1/255.255.255.252)
|----------|
| route b |
|----------|
|(ip 1array2.168.1.1/255.255.255.248)
|
/------------\
(ip 1array2.168.1.2/255.255.255.248)/ \ (ip 1array2.168.1.3/255.255.255.248)
|-----------| |-----------|
| firewall a| | firewall b|
|-----------| |-----------|
/ \
(局域网 a) ____/ \_____ (局域网 b)
在 route b 上添加两条静态路由:
ip route 211.111.111.0 255.255.255.128 1array2.168.1.2
ip route 211.111.111.128 255.255.255.128 1array2.168.1.3
这样一来,我们就将一个 c类得公网ip 拆分成了两个:
firewall a 得ip 范围是211.111.111.1-127
firewall b 得ip 范围是211.111.111.12array-254
好了,网络设计好了,下面我就以 方案一 我来讲如何配置防火墙
第三篇 防火墙得实现
我选用的平台是:
redhat 8.0 + shorewall 1.4.8 (其实就是基于iptables), 有三块网卡,以方案一为例。
安装好 redhat 8.0 ,并装好三块网卡后,
在下载 shorewall 的rpm 包(或者 tar 包都可以)
一:安装
rpm -ivh shorewall-1.4.8-1.noarch.rpm
二:配置
shorewall 得所有配置文件都在 /etc/shorewall 下面,好了我将详细得讲解如何配置 shorewall
这里我们假设 dmz区域有如下一些的服务器:
源码:
mail server: 10.1.2.2/24 公网地址:211.111.111.2
pptp vpn server: 10.1.2.3/24 公网地址:211.111.111.3
dns server: 10.1.2.4/24 公网地址:211.111.111.4
http server: 10.1.2.5/24 公网地址:211.111.111.5
在 /etc/shorewall 可以看到有很多配置文件:
(我只讲我们要用到的配置文件,其它得很少用到,大家可以自己去去去看帮助,很好理解得)
zones (定义防火墙得区域)
interfaces (定义接口)
masq (定义伪装ip)
policy (定义默认策略)
rules (定义防火墙规则)
下面是各个配置文件的内容
源码:
cat /etc/shorewall/zones:
================================================
wan internet internet
dmz dmz dmz
lan lan lan
================================================
cat /etc/shorewall/interfaces
================================================
wan eth0 detect
lan eth1 detect
dmz eth2 detect
================================================
cat /etc/shorewall/masq
================================================
eth0 1array2.168.1.2/32 211.111.111.1 #----- firwall to internet
eth0 10.1.1.0/24 211.111.111.1 #----- lan a to internet
eth0 10.1.2.2/32 211.111.111.2 #----- mail server to internet
eth0 10.1.2.3/32 211.111.111.3 #----- pptp server to internet
eth0 10.1.2.4/32 211.111.111.4 #----- dns server&nbs internet
eth0 10.1.2.5/32 211.111.111.5 #----- http server to internet
================================================
cat /etc/shorewall/policy
================================================
fw all accept # firewall 可以任意访问所有区域,包括互联网
lan wan accept # lan a 可以任意访问互联网
dmz wan accept # dmz 服务器可以任意访问互联网
lan dmz accept # lan a 可以任意访问和管理dmz服务器区
wan all drop # 互联网不能随意访问内部网络和dmz
all all reject
================================================
cat /etc/shorewall/rules
================================================
#---------------------- internet to mail server -------------------------------
dnat wan dmz:10.1.2.2 tcp smtp - 211.111.111.2
dnat wan dmz:10.1.2.2 tcp pop3 - 211.111.111.2
#---------------------- internet to pptp server -------------------------------
dnat wan dmz:10.1.2.3 tcp 1723 - 211.111.111.3
dnat wan dmz:10.1.2.3 47 - - 211.111.111.3
#---------------------- internet to dns server -------------------------------
dnat wan dmz:10.1.2.4 tcp 53 - 211.111.111.4
dnat wan dmz:10.1.2.4 udp 53 - 211.111.111.4
#---------------------- internet to http server -------------------------------
dnat wan dmz:10.1.2.5 tcp http - 211.111.111.5
================================================
好了,防火墙都配置好了,现在防火墙的结果如下:
源码:
lan a 的用户 10.1.1.0/24 的用户全部伪装成 211.111.111.1 去访问互联网
mail server: 10.1.2.2/32 以公网地址:211.111.111.2 访问互联网
pptp vpn server: 10.1.2.3/32 spp; 以公网地址:211.111.111.3 访问互联网
dns server: 10.1.2.4/32 以公网地址:211.111.111.4 访问互联网
http server: 10.1.2.5/32 以公网地址:211.111.111.5 访问互联网
firewall 可以任意访问所有区域,包括互联网
lan a 可以任意访问互联网
dmz 服务器可以任意访问互联网
lan a 可以任意访问和管理dmz服务器区
互联网不能随意访问内部网络和dmz
好了,到这所有配置文件都已经配好了,然后删除 /etc/shorewall/startup_disable 文件,
用 shorewall restart 就可以启动防火墙了。
总结:
相信到现在,大家对 shorewall 的配置文档有了一定的了解了,大家可以看出shorewall 的配置是很通俗易懂的,很容易的就可以配置好,希望我写的这个文章能给大家一点帮助。
(责任编辑:admin) |
