一、前言:
Shorewall是由Thomas
M. Eastep.機構所出產的免費軟體,它是一套不錯的Netfilter整合工具,它把 iptables, ip, tc...等一堆netfilter指令整合起來,把繁瑣的指令就變成幾個設定檔了;Shorewall是一有支援DMZ、PPPoE的防火牆軟體,有很高的可塑性,您可以在設定檔中依喜好設定rules,因此它可以用於router、firewall、gateway,幾乎netfilter所支援的 都可以做到,以下就Shorewall-1.4.8安裝在RedHat 9系統上做說明。
二、系統需求:
基本上硬體只要符合RedHat 9最低需求的相容硬體即可,若您需要安裝三個介面﹝內部local、外部net及非軍事區DMZ﹞的防火牆,則需要三張RedHat 9相容的網路卡;軟體方面RedHat 9的核心版本需為2.4.2 - 2.4.23.,iptable 1.2或以上版本,iproute,此為包含在RedHat 9安裝光碟中,預設可能沒有安裝,因此安裝RedHat 9時應注意。
三、安裝/移除Shorewall-1.4.8步驟:
先至http://www.shorewll.net網站下載Shorewall-1.4.8之軟體,有三種檔案可下載,分別為RPM、tarball及.lrp,在此就RPM套件安裝做說明;安裝時執行rpm -ivh
<shorewall rpm>即可順利安裝,預設的安裝路徑為/etc/shorewll。移除Shorewall-1.4.8請執行rpm –e
<shorewall rpm>即可。
四、啟動及停止shorewall:
啟動shorewall指令為shorewall start
停止shorewall指令為shorewall stop
重新啟動shorewall指令為shorewall resrart (當增加新的rules或設定時可利用此指令去套用新的設定值)
五、Shorewall-1.4.8設定步驟:
§ 安裝完Shorewall後在/etc/shorewall/下有幾個重要的設定擋,在此做簡略說明─
zones 敘述loc、net、DMZ說明。
interfaces 定義zones中對應的網路卡為loc、net、DMZ。
masq 設定偽裝的網路卡,即類似NAT的功能,設定後方能連結Internet。
rules 設定連線規則的主要檔案。
§ 首先安裝後必須先定義zones及interfaces這2隻擋,安裝完後預設已做好設定,在zones檔案中預設已net、loc、DMZ,只要檢查interfaces檔案中網路卡對應的zone即可。
§ 設定masq檔案,定義哪一個網路介面可以連結Internet,假設eth0為net,eth1為loc,若eth1欲透過eth0連結internet,即在masq檔中interfaces中鍵入eth0,subnet鍵入eth1如下所示
INTERFACES | SUBNET | ADDRESS |
eth0 | eth1 |
|
§ 設定rules檔案,首先需先了解較重要的四個ACTION,以下說明四個ACTION─
ACCEPT 允許連結。
REJECT 拒絕連結併發出destination-unreachable封包給用戶端。
DROP 不理會連結。
DNAT (Destination
Network Address Translation) 假設有一部Web
Server在Shorewall firewall內需要對外發佈,透過DNAT的設定,可允許Internet使用者連結Web Server。
範例一,如下圖所示假設Shorewall
firewall之DMZ中有一Web Server IP為172.16.0.1欲對外提供WWW服務,即在rules檔中設定如下─
ACTION | SOURCE | DEST | PROTOCOL | DEST PORT | SOURCE PORT | ORIGNAL |
DNAT | Net | dmz:172.16.0.1 | tcp | www | - |
|
範例二,如上圖所示,假設IP
172.16.0.1需連結至IP
192.168.128.1之1433
port,rules檔中設定如下─
ACTION | SOURCE | DEST | PROTOCOL | DEST PORT | SOURCE PORT | ORIGNAL |
ACCEPT | dmz:172.16.0.1 | loc:192.168.0.1 | tcp | 1433 | - |
|
一、使用Webmin軟體管理:
Webmin是一個好用、方便的web base管理介面,它可以設定Linux系統大部分的元件,建議可使用webmin
來管理shorewall,請至http://www.webmin.com下載最新的webmin軟體。安裝完成後直接在瀏覽器輸入http://hostname:10000即可進入管理Linux系統,以下為管理shorewall的畫面供參考─
管理shorewall的主要畫面
rules擋透過webmin管理的畫面
一、參考文件網址:
http://www.shorewall.net/Documentation_Index.html
二、總結:
Shorewall firewall是一套穩定及效率都不錯的軟體式防火牆,有些功能在製作此文件前我尚未熟悉,因此關於此文件將會有後續的更新。有良好的防火牆必須加上嚴謹的設定方能有效嚇阻怪客、駭客等居心不良人士入侵及防止病毒的散佈。
沒有留言:
張貼留言