Shorewall

Материал из Энциклопедия Хаб.ру
Перейти к: навигация, поиск

Содержание

Shorewall

Shorewall - это инструмент конфигурирования шлюза/фаервола для GNU/Linux. Обычно применяется в качестве скриптовой обертки для iptables , выполненная в виде сервиса.


Shorewall использует макросы, которые хранятся в следующей папке:

/usr/share/shorewall/  #

Определение новых макросов происходит следующим образом: /usr/share/shorewall/macro.nagios_nrpe

PARAM   -       -       tcp     5666

/usr/share/shorewall/macro.bacula

PARAM   -       -       tcp     9102
PARAM   -       -       tcp     9103


Пример шаблона макроса:

#
#
# /usr/share/shorewall/macro.nagios_nrpe
#
#
###############################################################################
#ACTION SOURCE  DEST    PROTO   DEST    SOURCE  ORIGINAL        RATE    USER/
#                               PORT    PORT(S) DEST            LIMIT   GROUP
PARAM   -       -       tcp     5666
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE


shorewall rules:

#bacula
bacula/ACCEPT   all             $FW
bacula/ACCEPT   $FW             all
#nagios_nrpe
nagios_nrpe/ACCEPT      net:10.11.0.0/16        $FW
nagios_nrpe/ACCEPT      $FW     net:10.11.0.0/16
DMZ:
#nagios_nrpe
nagios_nrpe/ACCEPT net:192.168.1.2 $FW
nagios_nrpe/ACCEPT $FW net:192.168.1.2


Контроль установленных соединений

#Удалить установленные соединения
conntrack -D -s 192.168.1.102
#Посмотреть список установленных соединений
conntrack -L -s 192.168.1.102

/etc/shorewall/shorewall.conf

По умолчанию, Shorewall откладывает по времени принятие ESTABLISHED / RELATED пакетов до тех пор, пока эти пакеты не достигнут цепь, в которой исходное соединение будет разрешено. Таким образом, для пакетов, идущих от loc зоны в net зону, ESTABLISHED/RELATED пакеты принимаются в цепочке loc2net.

Если вы установите FASTACCEPT = yes, то ESTABLISHED / RELATED пакеты принимаются раньше в INPUT, FORWARD и OUTPUT цепочках. Если вы установите FASTACCEPT = yes, то вы, можете не включать правила в соответствующих разделах Shorewall-rules.

FASTACCEPT=Yes 

Управление

#Валидация конфигурации
shorewall check



PATCH

ubuntu 10.04

!!ERROR: Command "/sbin/iptables -A FORWARD -j MARK --set-mark 0" Failed!!

--- Shorewall/Tc.pm.orig	2010-02-01 15:50:59.000000000 -0800
+++ Shorewall/Tc.pm	2010-02-01 15:51:42.000000000 -0800
@@ -1373,7 +1373,7 @@
 	add_jump $mangle_table->{OUTPUT} ,     'tcout', 0, $mark_part;
 
 	if ( $capabilities{MANGLE_FORWARD} ) {
-	    add_rule( $mangle_table->{FORWARD},     '-j MARK --set-mark 0' );
+	    add_rule( $mangle_table->{FORWARD},     '-j MARK --set-mark 0' ) if $capabilities{MARK};
 	    add_jump $mangle_table->{FORWARD} ,     'tcfor',  0;
 	    add_jump $mangle_table->{POSTROUTING} , 'tcpost', 0;
 	}
Источник — «http://www.hub.ru/wiki/Shorewall»
Личные инструменты
Пространства имён
Варианты
Действия
Навигация
Инструменты