Shorewall - Ọkụ ọkụ dị elu maka ịhazi sava Linux

Ịtọlite firewall na Linux nwere ike bụrụ ihe na-agwụ ike maka onye ọhụrụ, ma ọ bụ maka onye na-amaghị nke ọma na iptables. Ọ dabara nke ọma, enwere ngwọta dị mfe iji na Shorewall.

N'ime nkuzi ọtụtụ akụkụ a, m ga-eme ka ị malite Shorewall, ma jiri usoro firewall a dị egwu gagharịa gị n'isiokwu ụfọdụ dị elu.

Kedu ihe bụ Shorewall?

Shorewall bụ n'ezie ihu-n'ihu na iptables, mana ọ bụ akara ahịrị gburugburu n'ihu njedebe nke na-eji ọtụtụ faịlụ ederede maka nhazi ya. Ọ bụ ezie na Shorewall bụ sistemu ọkụ ọkụ siri ike nke enwere ike ịgbatị n'elu nnukwu netwọkụ na-arụ ọtụtụ igwe, anyị ga-amalite site na nhazi ihu abụọ bụ isi wee gbadaa isi ihe.

Nhazi ihu abụọ nwere igwe nwere ọdụ ụgbọ mmiri Ethernet abụọ, otu na-abata, na otu na-apụ na netwọkụ mpaghara.

Nwụnye Shorewall na Linux

Enwere ike ịwụnye Shorewall site na iji ngwa njikwa ngwugwu apt-get na yum.

$ sudo apt-get install shorewall6
$ sudo yum install shorewall6

Mgbe echichi gasịrị, anyị kwesịrị iṅomi nhazi ihe nlele site na ndekọ/usr/share/doc/Shorewall na ndekọ ndabere nke Shorewall/wdg/shorewall.

$ sudo cp /usr/share/doc/shorewall/example/two-interfaces/* /etc/shorewall

wee cd gaa /etc/shorewall.

$ cd /etc/shorewall

Ọ bụrụ na anyị leba anya na ndekọ a, anyị na-ahụ ụyọkọ faịlụ na faịlụ shorewall.conf. Shorewall na-ele netwọkụ ahụ anya dị ka otu mpaghara dị iche iche, yabụ faịlụ mbụ anyị chọrọ ilele ya bụ faịlụ /etc/shorewall/zones.

N'ebe a, anyị na-ahụ na e nwere mpaghara atọ akọwapụtara na ndabara: net, loc, na ihe niile. Ọ dị mkpa ịmara na Shorewall na-ewere igwe firewall n'onwe ya dị ka mpaghara nke ya ma chekwaa ya na mgbanwe a na-akpọ $FW. Ị ga-ahụ mgbanwe a n'ime faịlụ nhazi ndị ọzọ.

Faịlụ /etc/shorewall/zones mara mma nke ukwuu. Ị nwere mpaghara net (ntanetị na-eche ihu interface), mpaghara mpaghara (LAN chere ihu interface), na ihe niile, nke bụ ihe niile.

Usoro nhazi a na-enye ihe ndị a:

  1. Ọ na-enye ohere njikọ niile sitere na mpaghara mpaghara (LAN) gaa na mpaghara netwọk (Internet).
  2. Wepụ arịrịọ njikọ niile (na-eleghara) site na mpaghara netwọk gaa na firewall na LAN.
  3. ajụ ma dekọọ arịrịọ ndị ọzọ niile.

Obere LOG LEVEL kwesịrị ịma onye ọ bụla merela Apache, MySQL, ma ọ bụ ọnụọgụ ọ bụla ọzọ nke mmemme FOSS ndị ọzọ. N'okwu a, anyị na-agwa Shorewall ka ọ jiri ọkwa ozi nke ndekọ.

Ọ bụrụ na-ịchọrọ ị nweta firewall gị ka ị na-elekọta site na LAN gị, ị nwere ike itinye ahịrị ndị a na faịlụ /etc/shorewall/policy gị.

#SOURCE		DEST	POLICY		LOG		LEVEL		LIMIT:BURST
loc			$FW		ACCEPT
$FW			loc		ACCEPT

Ugbu a edobere mpaghara na amụma anyị, anyị ga-ahazi oghere anyị. Ị na-eme nke a site na-edezi faịlụ /etc/shorewall/interfaces.

N'ebe a, anyị edobela ịntanetị anyị chere ihu dị ka eth0 na mpaghara net. N'akụkụ LAN anyị, anyị edobela interface nke ọzọ, eth1, na mpaghara mpaghara. Biko mezie faịlụ a ka ọ kwado nhazi gị nke ọma.

Nhọrọ dị iche iche ị nwere ike idowe maka nke ọ bụla n'ime oghere ndị a buru ibu, a kọwakwara ya nke ọma na ibe nwoke.

$ man shorewall-interfaces

Ngwa ngwa gbadata ụfọdụ n'ime ha bụ ndị a:

  1. nosmurfs – nzacha nzacha nwere adreesị mgbasa ozi dị ka isi mmalite.
  2. logmartians – ngwugwu ndekọ nwere adreesị isi mmalite agaghị ekwe omume.
  3. routefilter – ụzọ kernel nzacha maka mgbochi mkpofu.

N'ezie, ugbu a na sistemụ anyị na-agbanyụ ọkụ, anyị ga-achọ njikọ ụfọdụ ka ekweta ka anyị nweta ihe anyị kwesịrị ime. Ị kọwapụtara ndị a na faịlụ iwu na /etc/shorewall/rules.

Faịlụ a na-agbagwoju anya na mbụ, tumadi n'ihi na ogidi ndị ahụ na-adakọba, mana ndị nkụnye eji isi mee ihe mara mma na-akọwa onwe ha. Nke mbụ, ị nwere kọlụm ACTION, nke na-akọwa ihe ịchọrọ ịme.

Na-esote, ị nwere nkụnye eji isi mee ebe ị na-akọwa mpaghara ebe ngwugwu ahụ si malite. Mgbe ahụ, ị nwere DEST, ma ọ bụ ebe ị na-aga, nke bụ mpaghara ma ọ bụ adreesị IP nke ebe ị na-aga. Ka anyị were ihe atụ mee ihe.

Were ya na ịchọrọ ịgba ọsọ SSH n'azụ firewall gị na igwe nwere adreesị IP nke 192.168.1.25. Ọ bụghị naanị na ị ga-emepe ọdụ ụgbọ mmiri na firewall gị, mana ị ga-agwa firewall na okporo ụzọ ọ bụla na-abịa na ọdụ ụgbọ mmiri 22 kwesịrị ibuga na igwe na 192.168.1.25.

A maara nke a dị ka Port Forwarding. Ọ bụ ihe a na-ahụkarị na ọtụtụ firewall/rauter. Na /etc/shorewall/rules, ị ga-arụzu nke a site na ịgbakwunye ahịrị dị ka nke a:

SSH(DNAT)	net		loc:192.168.1.25

N'elu, anyị akọwapụtala ngwugwu SSH ọ bụla a kara aka na-abịa site na mpaghara net na firewall ga-emerịrị (DNAT) na ọdụ ụgbọ mmiri 22 na igwe nwere adreesị 192.168.1.25.

Nke a ka a na-akpọ ntụgharị asụsụ netwọkụ ma ọ bụ NAT. Ihe \D na-agwa Shorewall naanị na nke a bụ NAT maka adreesị ebe ị ga-aga.

Ka nke a wee rụọ ọrụ, ị ga-enwerịrị nkwado NAT na kernel gị. Ọ bụrụ n’ịchọrọ NAT ma enweghị ya, biko hụ nkuzi m gbasara ịchịkọta kernel Debian.

Njikọ ntụaka

Ibe mbụ nke Shorewall

N'isiokwu na-esonụ, anyị ga-ejegharị n'isiokwu ụfọdụ ndị ka elu, ma e kwesịrị inwe ọtụtụ ebe a iji malite gị ugbu a. Dị ka oge niile, biko lelee ibe nwoke maka nghọta miri emi karị.