Benutzer-Werkzeuge
bs:linux:firewall
Unterschiede
Hier werden die Unterschiede zwischen zwei Versionen gezeigt.
|
bs:linux:firewall [2012/07/09 17:06] mhoffmann |
bs:linux:firewall [2012/10/11 10:23] |
||
|---|---|---|---|
| Zeile 1: | Zeile 1: | ||
| - | ====== Linux Firewall mit Shorewall und IPtables2 ====== | ||
| - | Dieser Artikel soll auf einfach Weise erklären wie man unter Ubuntu eine Effektive Firewall mit dem Programm **Shorewall** realisiert. | ||
| - | |||
| - | ===== Voraussetzung ===== | ||
| - | |||
| - | * Installiertes Paket ''iptables2'' | ||
| - | * Liste aller zu öffnenden Ports | ||
| - | * Bei vielen Interfaces am besten eine Zeichnung des Netzwerks, sonst kann es schnell unübersichtlich werden | ||
| - | |||
| - | ===== Installation ===== | ||
| - | |||
| - | Shorewall wird einfach mit ''sudo apt-get install shorewall'' installiert. | ||
| - | Die Config liegt in **/etc/shorewall/**. Beispielkonfigurationen für die verschiendensten Konfigurationen (ein oder mehrere Interfaces, mehrere ISP's, etc.) liegen in **/usr/share/doc/shorewall/examples**. | ||
| - | |||
| - | ===== Konfiguration ===== | ||
| - | Zuerst sollte man sich für den eigenen Andwendungsfall passenste Konfiguration aus den unterordnern in **/etc/shorewall/** kopieren. | ||
| - | Der Ordner Shorewall sollte nun folgende Dateien Beinhalten: | ||
| - | |||
| - | <sortable> | ||
| - | ^Dateiname^Bedeutung^ | ||
| - | |interfaces|Konfiguration der Netzwerkkarten und der zugehörigen Zonen| | ||
| - | |Makefile|von Shorewall zum kompilieren gebraucht, einfach in Ruhe lassen| | ||
| - | |masq|Verschleierung von Interfaces| | ||
| - | |policy|Richtlininien, werden zuerst auf den Traffic angewendet| | ||
| - | |routestopped|Regelt welche Routen beim Stoppen von Shorewall gelten| | ||
| - | |rules|Regeln für den Traffic, werden nach den policies angewendet| | ||
| - | |shorewall.conf|Grundsätzliche Konfiguration| | ||
| - | |zones|Zonendatei, legt die Eigenschaften von Zonen fest| | ||
| - | </sortable> | ||
| - | |||
| - | Die Firewall prüft bei eingehendem Datenverkehr zuerst immer im policy File was mit dem Traffic (Portunabhängig) passieren soll. Hier kann der Verkehr entweder zugelassen oder geblockt werden. | ||
| - | |||
| - | Wird der Verkehr laut Policy **zugelassen**, so wird er einfach an das Entsprechenden Netz weitergeleitet. | ||
| - | Wird der Verkehr laut Policy **geblockt**, so wird anschließend in der rules-Datei geprüft ob eventuell eine Ausnahmeregelung für den aktuellen Port, das aktuelle Protokoll oder die Zieladresse existieren. | ||
| - | |||
| - | Bei der Konfiguration gehen wir wie folgt vor: interfaces -> zones -> policy -> rules -> masq | ||
| - | ==== interfaces ==== | ||
| - | Hier legt man zunächst fest, welche Netzwekkarten überwacht werden sollen. | ||
| - | |||
| - | # | ||
| - | # Shorewall version 4.0 - Sample Interfaces File for three-interface configuration. | ||
| - | # Copyright (C) 2006 by the Shorewall Team | ||
| - | # | ||
| - | # This library is free software; you can redistribute it and/or | ||
| - | # modify it under the terms of the GNU Lesser General Public | ||
| - | # License as published by the Free Software Foundation; either | ||
| - | # version 2.1 of the License, or (at your option) any later version. | ||
| - | # | ||
| - | # See the file README.txt for further details. | ||
| - | #------------------------------------------------------------------------------ | ||
| - | # For information about entries in this file, type "man shorewall-interfaces" | ||
| - | ############################################################################### | ||
| - | #ZONE INTERFACE BROADCAST OPTIONS | ||
| - | net eth0 detect tcpflags,dhcp,nosmurfs,routefilter,logmartians | ||
| - | loc eth1 detect tcpflags,nosmurfs,routefilter,logmartians | ||
| - | dmz eth2 detect tcpflags,nosmurfs,routefilter,logmartians | ||
| - | vpn tun0 detect tcpflags,nosmurfs,routefilter,logmartians | ||
| - | |||
| - | In dieser Datei wird pro Interace ''INTERFACE'' festgelegt welche Zone ''ZONE'' an der jeweiligen Netzwerkkarte hängt. | ||
| - | |||
| - | Alle Optionen von ''BROADCAST'' und ''OPTIONS'' findet man [[http://shorewall.net/index.html|hier]]. | ||
| - | |||
| - | ==== Zones ==== | ||
| - | # | ||
| - | # Shorewall version 4.0 - Sample Zones File for three-interface configuration. | ||
| - | # Copyright (C) 2006 by the Shorewall Team | ||
| - | # | ||
| - | # This library is free software; you can redistribute it and/or | ||
| - | # modify it under the terms of the GNU Lesser General Public | ||
| - | # License as published by the Free Software Foundation; either | ||
| - | # version 2.1 of the License, or (at your option) any later version. | ||
| - | # | ||
| - | # See the file README.txt for further details. | ||
| - | #------------------------------------------------------------------------------ | ||
| - | # For information about entries in this file, type "man shorewall-zones" | ||
| - | ############################################################################### | ||
| - | #ZONE TYPE OPTIONS IN OUT | ||
| - | # OPTIONS OPTIONS | ||
| - | fw firewall | ||
| - | net ipv4 | ||
| - | loc ipv4 | ||
| - | dmz ipv4 | ||
| - | vpn ipv4 | ||
| - | | ||
| - | Diese Datei spezifiziert die einzelnen Zonen und um was für Typen es sich handelt. | ||
| - | Die Firewall selbst ist dabei eine eigene Zone, das heißt für sie werden auch eigene policies und rules erstellt. | ||
| - | Systemweit kann die Firwall mit der Umgebungsvaribale ''$FW'' in der Shorewallkonfig genutzt werden. | ||
| - | |||
| - | |||
| - | |||
Bei Verwendung dieses Wikis erklären Sie sich mit dem Haftungsausschluss, Nutzungsbedingungen und der Datenschutzerklärung dieses Wikis einverstanden. Impressum.
bs/linux/firewall.txt · Zuletzt geändert: 2012/10/11 10:23 (Externe Bearbeitung)
Seiten-Werkzeuge
Falls nicht anders bezeichnet, ist der Inhalt dieses Wikis unter der folgenden Lizenz veröffentlicht: CC Attribution-Share Alike 4.0 International
