Jendovy stránky

Shorewall je sada skriptů usnadňující nastavení linuxového firewallu. Jelikož mám klasickou konfiguraci - jedna síťovka do internetu a druhá do vnitřní sítě a nechci si lámat hlavu s nějakými iptables, použil jsem příkaz aptitude install shorewall.
Otevřel jsem si dle návodu soubory v adresáři /usr/share/doc/shorewall-common/examples/two_interfaces. Přičemž jsem si nakopíroval soubory z adresáře /default-config do /etc/shorewall

Nejprve jsem zkontroloval v souboru /etc/shorewall/shorewall.conf parametr IP_FORWARDING=On a v /etc/default/shorewall parametr startup = 1
Pak jsem jukl do defaultního nastavení souboru pro 2 síťovky a co se mi hodilo, dopsal jsem do stejných souborů nakonec

/etc/shorewall/shorewall.conf
/etc/shorewall/interfaces
/etc/shorewall/masq
/etc/shorewall/policy
/etc/shorewall/rules
/etc/shorewall/zones

v souboru /etc/shorewall/zones jsem nastavil tři základní zóny,
které bude Shorewall využívat - net pro internet, loc pro lokální síť a fw pro firewall, čímž je myšlen stroj, na kterém Shorewall běží:

Můj zones:
fw firewall
net ipv4
loc ipv4

(veškeré hodnoty ve všech konfiguračních souborech se oddělují pomocí tabulátoru)

V souboru /etc/shorewall/interfaces jsem zadal, jaká zařízení patří k jednotlivým zónám :

Můj interface:

net eth1 detect dhcp,blacklist,nosmurfs,tcpflags
loc eth0 10.x.x.x,192.x.x.x

eth1 mi nastavuje automaticky provider jako DHCP a do switche mám píchlé dvě sítě 10.x.x.x a 192.x.x.x, takže jsem si IP na eth0 nastavil na tvrdo.
Místo detect (DHCP) lze samozřejmě zadat IP adresu natvrdo,parametr blacklist
je černá listina - nastavení pro ztížení života někomu v síti je v souboru blaclist. Jinak zde neuvádět.
Dále nastavíme maškarádu (skrývání vnitřních IP adres za IP adresu routeru) v souboru /etc/shorewall/masq:

Můj masq:

#INTERFACE SUBNET ADDRESS PROTO PORT(S) IPSEC
eth1 eth0

Jako první se zadává rozhraní připojené do internetu nebo-li WAN, jako druhé (maskované) síťovka vnitřní sítě.

Nejdůležitější soubor je /etc/shorewall/policy, kde je definována základní bezpečnostní politika Shorewallu. Logicky jsem do něj zapsal toto:

Můj policy:

loc net ACCEPT
fw net ACCEPT
loc fw ACCEPT povoleno)
fw loc ACCEPT
net all DROP info
all all REJECT info

Tím se definovala následující politika: ze zóny loc (lokální síť) do zóny net (internet) je povolena veškerá komunikace. Ze zóny fw (firewall) do zóny net je povolena veškerá komunikace. Ze zóny loc je povolena komunikace se zónou fw (aby bylo možné využívat služby, které na firewallu poběží). Rovněž je povolena komunikace ze zóny fw do zóny loc. Nakonec zahodíme všechny nevyžádané pakety ze zóny net a ještě zamítneme nevyžádané pakety ze všech zón. Parametr info znamená, že se informace o této akci zapíše do logu.

REJECT - dá o tom zprávu odesilateli chybovým hlášením ICMP
Platí obecné pravidlo, že to, co není výslovně zakázáno, je povoleno. Proto je důležité v nastavení politiky Shorewallu nejprve blokovat veškerý provoz z internetu, a teprve poté povolit výjimky.
Tím je nastavena hrubá politika firewallu, jemnější pravidla jsem nastavil v souboru /etc/shorewall/rules.
Vzhledem k tomu, že v logu jsem našel stálé útoky na mé heslo přes ssh, povolil jsem toho opravdu málo. Jednak proto, že všechny nastavovačky a web obsluhuji z vnitřní sítě, takže jsem povolil jen webový server a FTP server.
Jinak lze, pokud znám IPéčko providera mých přátel
(http://cqcounter.com/whois/what_is_my_ip.php) mohu zadat FTP a SSH jen pro jejich IP adresy.

Můj rules:

ACCEPT net fw tcp 21
ACCEPT net fw tcp 80
ACCEPT net fw tcp 3000 (pro NTOP)
DROP net fw tcp ssh
DROP net fw tcp 1:60179
DROP net fw udp 1:60179

# povolit přístup na FTP a SSH pouze ze zadaných IP lze

ACCEPT net:82.209.2.161,82.209.2.162 fw tcp 21
ACCEPT net:82.209.2.161,82.209.2.162 fw tcp 22

V tomhle souboru se dá opravdu vyřádit.

Dávám # /etc/init.d/shorewall check a na konci se mi objeví
Configuration Validated
Shorewall spouštím:
/etc/init.d/shorewall start či restart