当前时区为 UTC + 8 小时



发表新帖 回复这个主题  [ 10 篇帖子 ] 
作者 内容
1 楼 
 文章标题 : [原创]Shorewall的单用户简单设置
帖子发表于 : 2006-01-31 21:37 
头像

注册: 2005-10-19 23:48
帖子: 227
地址: 大山丛林
送出感谢: 0 次
接收感谢: 0 次
Why did this:因为我的机器配置不高,firestarter也太不稳定,在我的breezy上老崩溃,新手指南上面的shorewall不是针对单机用户,语法规则shorewall3.0.4有所改变。

本机情况:电信ADSL,ISP动态分配ip。单机单网卡连接adsl modem(PPPoE)上网,全新安装shorewall。

一、linux防火墙基本知识:

除了软件和硬件防火墙的分类外,如果以封包抵挡机制来分类,大概可以分为proxy和IP Filter。
基本上linux的IP Filter有两个最基本的防火墙机制,分别是:Ip Filter和TCP_Wrapper。
这里我们谈IP Filter,因为shorewall可以通过IPTABLES简单设置IP Filter的规则。
或者说:如果你不麻烦iptables的语法规则,或者可以自己写一些shell程序批处理iptables指令,完全可以不安装shorewall或者其他防火墙。因为linux下的防火墙基本都是通过设置iptables的规则完成的。

1.首先确定(uname指令确定核心,lsmod确定当前载入模块,如果是ipchains,请执行rmmod ipchains。
然后modprobe ip_tables即可将iptables装入现在使用的模块)你的内核是采用哪种抵挡机制,是不是
我们需要的iptables(Ubuntu5.10的是iptables)

Linux Kernel Version 2.0:使用 ipfwadm
Linux Kernel Version 2.2:使用的是 ipchains
Linux Kernel Version 2.4:主要是使用 iptables 但为了兼容 ipchains ,因此在 Version 2.4 版本中,同时将 ipchains 编译成模组供使用,好让使用者仍然可以使用來自 2.2 版的 ipchains 的防火墙规则。
---------------
然后执行下面代码来观看现在的防火墙规则(联网情况下,root用户)
$ sudo iptables -L -n (L的含义是列出目前的 table 的规则,n含义是不进行IP与HOSTNAME的相互转换,这样可以加快显示速度)
$ sudo iptables -t nat -L -n (-t nat的含义是显示nat的filter。iptables会有nat tables和filter tables,不加参数为filter。有兴趣的兄弟可以参看其他关于iptables的介绍,介于太长,此处不做介绍;)
---------------
接下来我们就要清除掉现在所有的防火墙规则(联网情况下)

root@*** root]# /sbin/iptables [-t tables] [-FXZ]
其中参数含义为:
-F :清除所以已经建立的规则;
-X :杀掉所有使用者建立的 chain ( tables );
-Z :把所有的 chain 的计数和流量统计归为0;
範例:
[root@*** root]# /sbin/iptables -F
[root@*** root]# /sbin/iptables -X
[root@*** root]# /sbin/iptables -Z
[root@*** root]# /sbin/iptables -t nat -F
---------------

二、具体安装Shorewall3.0.4

下载shorewall最新的稳定版本3.0.4(tarball安装,即为源代码make安装。确定你的机器跟随‘新手指南’装了基本编译工具),由于新立得里面还是2.多的版本,在官方网站看的是3的介绍,所以安装3.0.4。而且安装很简单,不会出现其他依赖性问题.


------------
1.下载地址:http://www1.shorewall.net/pub/shorewall/3.0/shorewall-3.0.4/

2.安装前需要:iptables(前面提到的)+iproute (检查这个的指令是sudo Which ip )(基本上ubuntu5.10都具备了,所以可以不考虑)

3.尽量不要在ms-windows里面编辑shorewall的配置文件,因为ms和lin的文字排版不太一样,比如回车。

4.cd到你解压之后的目录,然后./install.sh 回车,看见没有错误信息,就OK了。但是此刻shorewall没有启动。等会儿我们来启动。默认安装之后就是每次启动就自动启动防火墙(设置文件在/etc/shorewall/shorewall.conf。找到STARTUP_ENABLED=Yes
,yes代表开机自动启动!)

5.安装之后所有文件分别位于:/usr/shorewall 和/sbin 和 /etc/shorewall,我们需要注意的就是/etc/shorewall。这里是配置文件。(个人建议,对于一些重要的,经常不需要变动的文件可以将隐藏属性chattr +i 上去,具体指令信息,请找‘男人’man :-)

6.查看安装后的版本:sudo shorewall version 可以得到3.0.4的消息

---------------

三、配置Shorewall3.0.4

详细的官方文档位于:http://www.shorewall.net/Documentation.htm ,shorewall的文件很多,但是一般用户用到的不多,特别是我们这种单机拨号的用户。
-------------

1.首先配置/etc/shorewall/zones文件,浏览至最后,添加代码如下:
#ZONE TYPE OPTIONS
fw firewall #文件原本存在的这行,fw为防火墙本身,必须
net ipv4
loc ipv4
#LAST LINE -- DO NOT REMOVE

其中关于各个type,options的解释,该配置文件前面部分有,大家如果严格要求,可以参照文件配置,一般用户配置成上面就可以了。

2.配置/etc/shorewall/interfaces,(这里用到的ZONE的名字是在上个文件/etc/shorewall/zones中定义的名字,所以顺序不要弄错了。这种zone名字的方法是比较简单的,推荐这种方法。)
#ZONE INTERFACE BROADCAST OPTIONS
net ppp0
#LAST LINE -- DO NOT REMOVE

同样配置文件对各个参数进行了详尽的解释
--------------

3.配置/etc/shorewall/rules 和 /etc/shorewall/policy

关系: policy是定义默认的策略给所有的连接(从一个zone到另外一个zone, 比如我们定义的从loc到net);
rules是定义特殊的防火墙规则,即是policy里面没有的。
先后条件:任何连接,防火墙先检查rules,如果rule中没有关于这个连接要求的描述,就调用policy的默认配置。

/etc/shorewall/policy的配置如下(默认)
#SOURCE ZONE DESTINATION ZONE POLICY LOG LIMIT:BURST
# LEVEL
loc net ACCEPT
net all DROP info
all all REJECT info
#LAST LINE -- DO NOT REMOVE
我一般改为下面,省得每次开端口麻烦。
fw net ACCEPT
net all DROP info
all all REJECT info
上面的含义是允许本机所有连接网络的要求;网络连接到我的所有zones(比如防火墙fw,本地loc)都丢弃该连接要求的tcp封包,并记入日志。拒绝所有连接要求并记入日志(当连接被拒绝了,防火墙就会返回一个RST (加入协议是TCP) 或者一个 ICMP端口不能到达的包给其他协议)

-------------

/etc/shorewall/rules配置如下(一般不需要太大配置,除非你的机器运行了比如想web服务器之类的东西。需要端口开放时候再来配置该文件)

#

这里我选择保持默认,就是没有定义的东西。如果你以后想开什么端口,就自己在这个上面写就是了。关于各个选项,配置文件里面有很详细的描述。比如ACCEPT net loc icmp echo-request就是让网络可以ping到本机的设置。你以后要开ftp,bt,pop3等端口的时候,自己可以在这个上面设置!:-)

---------------
四、启动shorewall。
sudo shorewall start (注意再建立一个/var/lock/subsys这个文件夹,程序需要,但是ubuntu没有该目录,所以要自己建立!不然会有错误信息提示)
或者重新启动计算机就自动启动了,修改/etc/default/shorewall的文件,把starup改为1即可。(一般情况下,如果你的运气实在不好,就请自己把该程序ln一个连接到rcS.d中):-)


最后由 jaguar00 编辑于 2006-04-20 20:33,总共编辑了 3 次

页首
 用户资料  
 
2 楼 
 文章标题 :
帖子发表于 : 2006-01-31 21:38 
头像

注册: 2005-10-19 23:48
帖子: 227
地址: 大山丛林
送出感谢: 0 次
接收感谢: 0 次
shorewall的官方网站:http://www.shorewall.net/


页首
 用户资料  
 
3 楼 
 文章标题 :
帖子发表于 : 2006-01-31 22:10 
头像

注册: 2005-06-21 20:24
帖子: 715
地址: 甘肃
送出感谢: 0 次
接收感谢: 0 次
写的真好 受教了


_________________
ubuntu 6.06
我是初学者 大家多多关照


页首
 用户资料  
 
4 楼 
 文章标题 :
帖子发表于 : 2006-02-01 16:01 
头像

注册: 2005-07-02 14:41
帖子: 4133
系统: Ubuntu 14.04 (Kylin)
送出感谢: 53
接收感谢: 11
本来还想加个精, 没想到原来已经有人加了。
:D


_________________
https://weakish.github.io


页首
 用户资料  
 
5 楼 
 文章标题 :
帖子发表于 : 2006-02-01 18:43 
头像

注册: 2005-06-21 20:24
帖子: 715
地址: 甘肃
送出感谢: 0 次
接收感谢: 0 次
我加的


_________________
ubuntu 6.06
我是初学者 大家多多关照


页首
 用户资料  
 
6 楼 
 文章标题 :
帖子发表于 : 2006-09-26 3:57 

注册: 2006-09-23 22:42
帖子: 15
送出感谢: 0 次
接收感谢: 0 次
ding.


页首
 用户资料  
 
7 楼 
 文章标题 :
帖子发表于 : 2006-10-04 14:38 
头像

注册: 2006-08-25 8:16
帖子: 165
地址: NEU
送出感谢: 0 次
接收感谢: 0 次
按照wiki里设置的话 几辈子也不会好~~ :cry:


页首
 用户资料  
 
8 楼 
 文章标题 :
帖子发表于 : 2006-10-04 18:38 
头像

注册: 2005-07-02 14:41
帖子: 4133
系统: Ubuntu 14.04 (Kylin)
送出感谢: 53
接收感谢: 11
:arrow: 系统安全


_________________
https://weakish.github.io


页首
 用户资料  
 
9 楼 
 文章标题 :
帖子发表于 : 2006-11-10 0:34 

注册: 2006-11-01 19:37
帖子: 16
送出感谢: 0 次
接收感谢: 0 次
我要在防火墙上实现NAT的话,如何配置?请指点!!!!


页首
 用户资料  
 
10 楼 
 文章标题 :
帖子发表于 : 2007-05-24 16:34 

注册: 2007-05-24 14:56
帖子: 39
送出感谢: 0 次
接收感谢: 0 次
flew


页首
 用户资料  
 
显示帖子 :  排序  
发表新帖 回复这个主题  [ 10 篇帖子 ] 

当前时区为 UTC + 8 小时


在线用户

正在浏览此版面的用户:没有注册用户 和 3 位游客


不能 在这个版面发表主题
不能 在这个版面回复主题
不能 在这个版面编辑帖子
不能 在这个版面删除帖子
不能 在这个版面提交附件

前往 :  
本站点为公益性站点,用于推广开源自由软件,由 DiaHosting VPSBudgetVM VPS 提供服务。
我们认为:软件应可免费取得,软件工具在各种语言环境下皆可使用,且不会有任何功能上的差异;
人们应有定制和修改软件的自由,且方式不受限制,只要他们自认为合适。

Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
简体中文语系由 王笑宇 翻译