2004年10月8日 星期五

Shorewall-1.4.8安裝說明

一、前言:


Shorewall是由Thomas
M. Eastep.機構所出產的免費軟體,它是一套不錯的Netfilter整合工具,它把 iptables, ip, tc...等一堆netfilter指令整合起來,把繁瑣的指令就變成幾個設定檔了;Shorewall是一有支援DMZPPPoE的防火牆軟體,有很高的可塑性,您可以在設定檔中依喜好設定rules,因此它可以用於routerfirewallgateway,幾乎netfilter所支援的 都可以做到,以下就Shorewall-1.4.8安裝在RedHat 9系統上做說明。


 


二、系統需求:


基本上硬體只要符合RedHat 9最低需求的相容硬體即可,若您需要安裝三個介面﹝內部local、外部net及非軍事區DMZ﹞的防火牆,則需要三張RedHat 9相容的網路卡;軟體方面RedHat 9的核心版本需為2.4.2 - 2.4.23.iptable 1.2或以上版本,iproute,此為包含在RedHat 9安裝光碟中,預設可能沒有安裝,因此安裝RedHat 9時應注意。


 


三、安裝/移除Shorewall-1.4.8步驟:


先至http://www.shorewll.net網站下載Shorewall-1.4.8之軟體,有三種檔案可下載,分別為RPMtarball.lrp,在此就RPM套件安裝做說明;安裝時執行rpm -ivh
<shorewall rpm>即可順利安裝,預設的安裝路徑為/etc/shorewll。移除Shorewall-1.4.8請執行rpm –e
<shorewall rpm>即可。


 


四、啟動及停止shorewall


      啟動shorewall指令為shorewall start


      停止shorewall指令為shorewall stop


      重新啟動shorewall指令為shorewall resrart (當增加新的rules或設定時可利用此指令去套用新的設定值)


 


五、Shorewall-1.4.8設定步驟:


§ 安裝完Shorewall後在/etc/shorewall/下有幾個重要的設定擋,在此做簡略說明─


  zones  敘述locnetDMZ說明。


interfaces  定義zones中對應的網路卡為locnetDMZ


masq  設定偽裝的網路卡,即類似NAT的功能,設定後方能連結Internet


rules  設定連線規則的主要檔案。


§ 首先安裝後必須先定義zonesinterfaces2隻擋,安裝完後預設已做好設定,在zones檔案中預設已netlocDMZ,只要檢查interfaces檔案中網路卡對應的zone即可。


§ 設定masq檔案,定義哪一個網路介面可以連結Internet,假設eth0neteth1loc,若eth1欲透過eth0連結internet,即在masq檔中interfaces中鍵入eth0subnet鍵入eth1如下所示


 
















INTERFACES             



SUBNET              



ADDRESS



eth0                       



eth1



 



 


§ 設定rules檔案,首先需先了解較重要的四個ACTION,以下說明四個ACTION


  ACCEPT 允許連結。


  REJECT 拒絕連結併發出destination-unreachable封包給用戶端。


  DROP 不理會連結。


  DNAT (Destination
Network Address Translation) 假設有一部Web
ServerShorewall firewall內需要對外發佈,透過DNAT的設定,可允許Internet使用者連結Web Server


 


範例一,如下圖所示假設Shorewall
firewallDMZ中有一Web Server IP172.16.0.1欲對外提供WWW服務,即在rules檔中設定如下─
























ACTION             



SOURCE



DEST



PROTOCOL



DEST


PORT



SOURCE PORT 



ORIGNAL
DESTINATION



DNAT                       



Net



dmz:172.16.0.1



tcp



www



-



 



範例二,如上圖所示,假設IP
172.16.0.1需連結至IP
192.168.128.11433
portrules檔中設定如下─ 
























ACTION             



SOURCE



DEST



PROTOCOL



DEST PORT 



SOURCE PORT



ORIGNAL
DESTINATION



ACCEPT                       



dmz:172.16.0.1



loc:192.168.0.1



tcp



1433



-



 



 


一、使用Webmin軟體管理:


Webmin是一個好用、方便的web base管理介面,它可以設定Linux系統大部分的元件,建議可使用webmin
來管理shorewall,請至http://www.webmin.com下載最新的webmin軟體。安裝完成後直接在瀏覽器輸入http://hostname:10000即可進入管理Linux系統,以下為管理shorewall的畫面供參考─






















管理shorewall的主要畫面


rules擋透過webmin管理的畫面


 


一、參考文件網址:


http://www.shorewall.net/Documentation_Index.html


http://www.webmin.com


http://www.redhat.com


   


二、總結:


  Shorewall firewall是一套穩定及效率都不錯的軟體式防火牆,有些功能在製作此文件前我尚未熟悉,因此關於此文件將會有後續的更新。有良好的防火牆必須加上嚴謹的設定方能有效嚇阻怪客、駭客等居心不良人士入侵及防止病毒的散佈。


10/08/2004
標籤:

沒有留言:

張貼留言

訂閱: 張貼留言 (Atom)