Benutzer-Werkzeuge

Webseiten-Werkzeuge


bs:linux:firewall

Dies ist eine alte Version des Dokuments!


Linux Firewall mit Shorewall und IPtables2

Dieser Artikel soll auf einfach Weise erklären wie man unter Ubuntu eine Effektive Firewall mit dem Programm Shorewall realisiert.

Voraussetzung

  • Installiertes Paket iptables2
  • Liste aller zu öffnenden Ports
  • Bei vielen Interfaces am besten eine Zeichnung des Netzwerks, sonst kann es schnell unübersichtlich werden

Installation

Shorewall wird einfach mit sudo apt-get install shorewall installiert. Die Config liegt in /etc/shorewall/. Beispielkonfigurationen für die verschiendensten Konfigurationen (ein oder mehrere Interfaces, mehrere ISP's, etc.) liegen in /usr/share/doc/shorewall/examples.

Konfiguration

Zuerst sollte man sich für den eigenen Andwendungsfall passenste Konfiguration aus den unterordnern in /etc/shorewall/ kopieren. Der Ordner Shorewall sollte nun folgende Dateien Beinhalten:

DateinameBedeutung
interfacesKonfiguration der Netzwerkkarten und der zugehörigen Zonen
Makefilevon Shorewall zum kompilieren gebraucht, einfach in Ruhe lassen
masqVerschleierung von Interfaces
policyRichtlininien, werden zuerst auf den Traffic angewendet
routestoppedRegelt welche Routen beim Stoppen von Shorewall gelten
rulesRegeln für den Traffic, werden nach den policies angewendet
shorewall.confGrundsätzliche Konfiguration
zonesZonendatei, legt die Eigenschaften von Zonen fest

Die Firewall prüft bei eingehendem Datenverkehr zuerst immer im policy File was mit dem Traffic (Portunabhängig) passieren soll. Hier kann der Verkehr entweder zugelassen oder geblockt werden.

Wird der Verkehr laut Policy zugelassen, so wird er einfach an das Entsprechenden Netz weitergeleitet. Wird der Verkehr laut Policy geblockt, so wird anschließend in der rules-Datei geprüft ob eventuell eine Ausnahmeregelung für den aktuellen Port, das aktuelle Protokoll oder die Zieladresse existieren.

Bei der Konfiguration gehen wir wie folgt vor: interfaces → zones → policy → rules → masq

interfaces

Hier legt man zunächst fest, welche Netzwekkarten überwacht werden sollen.

#
# Shorewall version 4.0 - Sample Interfaces File for three-interface configuration.
# Copyright (C) 2006 by the Shorewall Team
#
# This library is free software; you can redistribute it and/or
# modify it under the terms of the GNU Lesser General Public
# License as published by the Free Software Foundation; either
# version 2.1 of the License, or (at your option) any later version.
#  
# See the file README.txt for further details.
#------------------------------------------------------------------------------
# For information about entries in this file, type "man shorewall-interfaces"
###############################################################################
#ZONE   INTERFACE       BROADCAST       OPTIONS
net     eth0            detect          tcpflags,dhcp,nosmurfs,routefilter,logmartians
loc     eth1            detect          tcpflags,nosmurfs,routefilter,logmartians
dmz     eth2            detect          tcpflags,nosmurfs,routefilter,logmartians
vpn     tun0            detect          tcpflags,nosmurfs,routefilter,logmartians

In dieser Datei wird pro Interace INTERFACE festgelegt welche Zone ZONE an der jeweiligen Netzwerkkarte hängt.

Alle Optionen von BROADCAST und OPTIONS findet man hier.

Zones

#
# Shorewall version 4.0 - Sample Zones File for three-interface configuration.
# Copyright (C) 2006 by the Shorewall Team
#
# This library is free software; you can redistribute it and/or
# modify it under the terms of the GNU Lesser General Public
# License as published by the Free Software Foundation; either
# version 2.1 of the License, or (at your option) any later version.
#
# See the file README.txt for further details.
#------------------------------------------------------------------------------
# For information about entries in this file, type "man shorewall-zones"
###############################################################################
#ZONE   TYPE    OPTIONS                 IN                      OUT
#                                       OPTIONS                 OPTIONS
fw      firewall
net     ipv4
loc     ipv4
dmz     ipv4
vpn     ipv4

Diese Datei spezifiziert die einzelnen Zonen und um was für Typen es sich handelt. Die Firewall selbst ist dabei eine eigene Zone, das heißt für sie werden auch eigene policies und rules erstellt. Systemweit kann die Firwall mit der Umgebungsvaribale $FW in der Shorewallkonfig genutzt werden.

Bei Verwendung dieses Wikis erklären Sie sich mit dem Haftungsausschluss, Nutzungsbedingungen und der Datenschutzerklärung dieses Wikis einverstanden. Impressum.

bs/linux/firewall.1341846394.txt.gz · Zuletzt geändert: 2012/10/11 10:23 (Externe Bearbeitung)