Dies ist eine alte Version des Dokuments!
Dieser Artikel soll auf einfach Weise erklären wie man unter Ubuntu eine Effektive Firewall mit dem Programm Shorewall realisiert.
iptables2
Shorewall wird einfach mit sudo apt-get install shorewall
installiert.
Die Config liegt in /etc/shorewall/. Beispielkonfigurationen für die verschiendensten Konfigurationen (ein oder mehrere Interfaces, mehrere ISP's, etc.) liegen in /usr/share/doc/shorewall/examples.
Zuerst sollte man sich für den eigenen Andwendungsfall passenste Konfiguration aus den unterordnern in /etc/shorewall/ kopieren. Der Ordner Shorewall sollte nun folgende Dateien Beinhalten:
Dateiname | Bedeutung |
---|---|
interfaces | Konfiguration der Netzwerkkarten und der zugehörigen Zonen |
Makefile | von Shorewall zum kompilieren gebraucht, einfach in Ruhe lassen |
masq | Verschleierung von Interfaces |
policy | Richtlininien, werden zuerst auf den Traffic angewendet |
routestopped | Regelt welche Routen beim Stoppen von Shorewall gelten |
rules | Regeln für den Traffic, werden nach den policies angewendet |
shorewall.conf | Grundsätzliche Konfiguration |
zones | Zonendatei, legt die Eigenschaften von Zonen fest |
Die Firewall prüft bei eingehendem Datenverkehr zuerst immer im policy File was mit dem Traffic (Portunabhängig) passieren soll. Hier kann der Verkehr entweder zugelassen oder geblockt werden.
Wird der Verkehr laut Policy zugelassen, so wird er einfach an das Entsprechenden Netz weitergeleitet. Wird der Verkehr laut Policy geblockt, so wird anschließend in der rules-Datei geprüft ob eventuell eine Ausnahmeregelung für den aktuellen Port, das aktuelle Protokoll oder die Zieladresse existieren.
Bei der Konfiguration gehen wir wie folgt vor: interfaces → zones → policy → rules → masq
Hier legt man zunächst fest, welche Netzwekkarten überwacht werden sollen.
# # Shorewall version 4.0 - Sample Interfaces File for three-interface configuration. # Copyright (C) 2006 by the Shorewall Team # # This library is free software; you can redistribute it and/or # modify it under the terms of the GNU Lesser General Public # License as published by the Free Software Foundation; either # version 2.1 of the License, or (at your option) any later version. # # See the file README.txt for further details. #------------------------------------------------------------------------------ # For information about entries in this file, type "man shorewall-interfaces" ############################################################################### #ZONE INTERFACE BROADCAST OPTIONS net eth0 detect tcpflags,dhcp,nosmurfs,routefilter,logmartians loc eth1 detect tcpflags,nosmurfs,routefilter,logmartians dmz eth2 detect tcpflags,nosmurfs,routefilter,logmartians vpn tun0 detect tcpflags,nosmurfs,routefilter,logmartians
In dieser Datei wird pro Interace INTERFACE
festgelegt welche Zone ZONE
an der jeweiligen Netzwerkkarte hängt.
Alle Optionen von BROADCAST
und OPTIONS
findet man hier.
# # Shorewall version 4.0 - Sample Zones File for three-interface configuration. # Copyright (C) 2006 by the Shorewall Team # # This library is free software; you can redistribute it and/or # modify it under the terms of the GNU Lesser General Public # License as published by the Free Software Foundation; either # version 2.1 of the License, or (at your option) any later version. # # See the file README.txt for further details. #------------------------------------------------------------------------------ # For information about entries in this file, type "man shorewall-zones" ############################################################################### #ZONE TYPE OPTIONS IN OUT # OPTIONS OPTIONS fw firewall net ipv4 loc ipv4 dmz ipv4 vpn ipv4
Diese Datei spezifiziert die einzelnen Zonen und um was für Typen es sich handelt.
Die Firewall selbst ist dabei eine eigene Zone, das heißt für sie werden auch eigene policies und rules erstellt.
Systemweit kann die Firwall mit der Umgebungsvaribale $FW
in der Shorewallkonfig genutzt werden.
Bei Verwendung dieses Wikis erklären Sie sich mit dem Haftungsausschluss, Nutzungsbedingungen und der Datenschutzerklärung dieses Wikis einverstanden. Impressum.