Shorewall - Ọkụ ọkụ dị elu maka ịhazi sava Linux
Ịtọlite firewall na Linux nwere ike bụrụ ihe na-agwụ ike maka onye ọhụrụ, ma ọ bụ maka onye na-amaghị nke ọma na iptables. Ọ dabara nke ọma, enwere ngwọta dị mfe iji na Shorewall.
N'ime nkuzi ọtụtụ akụkụ a, m ga-eme ka ị malite Shorewall, ma jiri usoro firewall a dị egwu gagharịa gị n'isiokwu ụfọdụ dị elu.
Kedu ihe bụ Shorewall?
Shorewall bụ n'ezie ihu-n'ihu na iptables, mana ọ bụ akara ahịrị gburugburu n'ihu njedebe nke na-eji ọtụtụ faịlụ ederede maka nhazi ya. Ọ bụ ezie na Shorewall bụ sistemu ọkụ ọkụ siri ike nke enwere ike ịgbatị n'elu nnukwu netwọkụ na-arụ ọtụtụ igwe, anyị ga-amalite site na nhazi ihu abụọ bụ isi wee gbadaa isi ihe.
Nhazi ihu abụọ nwere igwe nwere ọdụ ụgbọ mmiri Ethernet abụọ, otu na-abata, na otu na-apụ na netwọkụ mpaghara.
Nwụnye Shorewall na Linux
Enwere ike ịwụnye Shorewall site na iji ngwa njikwa ngwugwu apt-get na yum.
$ sudo apt-get install shorewall6
$ sudo yum install shorewall6
Mgbe echichi gasịrị, anyị kwesịrị iṅomi nhazi ihe nlele site na ndekọ/usr/share/doc/Shorewall na ndekọ ndabere nke Shorewall/wdg/shorewall.
$ sudo cp /usr/share/doc/shorewall/example/two-interfaces/* /etc/shorewall
wee cd gaa /etc/shorewall.
$ cd /etc/shorewall
Ọ bụrụ na anyị leba anya na ndekọ a, anyị na-ahụ ụyọkọ faịlụ na faịlụ shorewall.conf. Shorewall na-ele netwọkụ ahụ anya dị ka otu mpaghara dị iche iche, yabụ faịlụ mbụ anyị chọrọ ilele ya bụ faịlụ /etc/shorewall/zones.
N'ebe a, anyị na-ahụ na e nwere mpaghara atọ akọwapụtara na ndabara: net, loc, na ihe niile. Ọ dị mkpa ịmara na Shorewall na-ewere igwe firewall n'onwe ya dị ka mpaghara nke ya ma chekwaa ya na mgbanwe a na-akpọ $FW. Ị ga-ahụ mgbanwe a n'ime faịlụ nhazi ndị ọzọ.
Faịlụ /etc/shorewall/zones mara mma nke ukwuu. Ị nwere mpaghara net (ntanetị na-eche ihu interface), mpaghara mpaghara (LAN chere ihu interface), na ihe niile, nke bụ ihe niile.
Usoro nhazi a na-enye ihe ndị a:
- Ọ na-enye ohere njikọ niile sitere na mpaghara mpaghara (LAN) gaa na mpaghara netwọk (Internet).
- Wepụ arịrịọ njikọ niile (na-eleghara) site na mpaghara netwọk gaa na firewall na LAN.
- ajụ ma dekọọ arịrịọ ndị ọzọ niile.
Obere LOG LEVEL kwesịrị ịma onye ọ bụla merela Apache, MySQL, ma ọ bụ ọnụọgụ ọ bụla ọzọ nke mmemme FOSS ndị ọzọ. N'okwu a, anyị na-agwa Shorewall ka ọ jiri ọkwa ozi nke ndekọ.
Ọ bụrụ na-ịchọrọ ị nweta firewall gị ka ị na-elekọta site na LAN gị, ị nwere ike itinye ahịrị ndị a na faịlụ /etc/shorewall/policy gị.
#SOURCE DEST POLICY LOG LEVEL LIMIT:BURST loc $FW ACCEPT $FW loc ACCEPT
Ugbu a edobere mpaghara na amụma anyị, anyị ga-ahazi oghere anyị. Ị na-eme nke a site na-edezi faịlụ /etc/shorewall/interfaces.
N'ebe a, anyị edobela ịntanetị anyị chere ihu dị ka eth0 na mpaghara net. N'akụkụ LAN anyị, anyị edobela interface nke ọzọ, eth1, na mpaghara mpaghara. Biko mezie faịlụ a ka ọ kwado nhazi gị nke ọma.
Nhọrọ dị iche iche ị nwere ike idowe maka nke ọ bụla n'ime oghere ndị a buru ibu, a kọwakwara ya nke ọma na ibe nwoke.
$ man shorewall-interfaces
Ngwa ngwa gbadata ụfọdụ n'ime ha bụ ndị a:
- nosmurfs – nzacha nzacha nwere adreesị mgbasa ozi dị ka isi mmalite.
- logmartians – ngwugwu ndekọ nwere adreesị isi mmalite agaghị ekwe omume.
- routefilter – ụzọ kernel nzacha maka mgbochi mkpofu.
N'ezie, ugbu a na sistemụ anyị na-agbanyụ ọkụ, anyị ga-achọ njikọ ụfọdụ ka ekweta ka anyị nweta ihe anyị kwesịrị ime. Ị kọwapụtara ndị a na faịlụ iwu na /etc/shorewall/rules.
Faịlụ a na-agbagwoju anya na mbụ, tumadi n'ihi na ogidi ndị ahụ na-adakọba, mana ndị nkụnye eji isi mee ihe mara mma na-akọwa onwe ha. Nke mbụ, ị nwere kọlụm ACTION, nke na-akọwa ihe ịchọrọ ịme.
Na-esote, ị nwere nkụnye eji isi mee ebe ị na-akọwa mpaghara ebe ngwugwu ahụ si malite. Mgbe ahụ, ị nwere DEST, ma ọ bụ ebe ị na-aga, nke bụ mpaghara ma ọ bụ adreesị IP nke ebe ị na-aga. Ka anyị were ihe atụ mee ihe.
Were ya na ịchọrọ ịgba ọsọ SSH n'azụ firewall gị na igwe nwere adreesị IP nke 192.168.1.25. Ọ bụghị naanị na ị ga-emepe ọdụ ụgbọ mmiri na firewall gị, mana ị ga-agwa firewall na okporo ụzọ ọ bụla na-abịa na ọdụ ụgbọ mmiri 22 kwesịrị ibuga na igwe na 192.168.1.25.
A maara nke a dị ka Port Forwarding. Ọ bụ ihe a na-ahụkarị na ọtụtụ firewall/rauter. Na /etc/shorewall/rules, ị ga-arụzu nke a site na ịgbakwunye ahịrị dị ka nke a:
SSH(DNAT) net loc:192.168.1.25
N'elu, anyị akọwapụtala ngwugwu SSH ọ bụla a kara aka na-abịa site na mpaghara net na firewall ga-emerịrị (DNAT) na ọdụ ụgbọ mmiri 22 na igwe nwere adreesị 192.168.1.25.
Nke a ka a na-akpọ ntụgharị asụsụ netwọkụ ma ọ bụ NAT. Ihe \D na-agwa Shorewall naanị na nke a bụ NAT maka adreesị ebe ị ga-aga.
Ka nke a wee rụọ ọrụ, ị ga-enwerịrị nkwado NAT na kernel gị. Ọ bụrụ n’ịchọrọ NAT ma enweghị ya, biko hụ nkuzi m gbasara ịchịkọta kernel Debian.
Njikọ ntụaka
Ibe mbụ nke Shorewall
N'isiokwu na-esonụ, anyị ga-ejegharị n'isiokwu ụfọdụ ndị ka elu, ma e kwesịrị inwe ọtụtụ ebe a iji malite gị ugbu a. Dị ka oge niile, biko lelee ibe nwoke maka nghọta miri emi karị.