Shorewall (Shoreline Firewall) est un firewall qui se penche au système Netfilter (iptables / ipchains) du noyau Linux, pour faciliter la gestion de configurations de réseau avancées. Avant de commencer l'installation de Shorewall, vous devez d'abord désinstaller tout autre pare-feu. Exemple: Firestarter:

# apt-get remove --purge firestarter

# apt-get install shorewall shorewall-common shorewall-shell shorewall-doc dash

1) Partiamo con la configurazione del file interfaces:

# Gedit / etc / shorewall / interfaces

à l'intérieur nous copier ce:

# Shorewall version 3.0 - Exemple de fichier d'interface pour une configuration de l'interface.
#
# / Etc / shorewall / interfaces
#
# Vous devez ajouter une entrée dans ce fichier pour chaque interface réseau sur votre
# Système de firewall.
#
# Les colonnes sont les suivantes:
#
# ZONE zone pour cette interface. Doit correspondre au nom d'un
# Zones définies dans / etc / shorewall / zones. Vous Mai Non
# Liste de la zone de pare-feu dans cette colonne.
#
# Si l'interface propose plusieurs zones qui seront
# Défini dans le fichier / etc / shorewall / hosts, vous devriez
# Place "-" dans cette colonne.
#
# Interfaces S'il existe plusieurs pour les mêmes zones,
# Vous devez inscrire leur nom dans les entrées distinctes:
#
# Exemple:
#
# Loc eth1 --
# Loc eth2 --
#
# Nom de l'interface de l'interface. Chaque interface mai peut figurer que dans
# Une fois dans ce fichier. Vous mai pas spécifier le nom de
# Un alias (par exemple, eth0: 0) ci-dessous, voir
# # Http: / / www.shorewall.net / faq.htm faq18
#
# Vous mai spécifier des caractères jokers ici. Par exemple, si vous
# Vous voulez faire une entrée qui s'applique à tous les PPP
# Les interfaces, l'utilisation des PPP + '.
#
# Il n'est pas nécessaire de définir l'interface loopback (lo)
# Dans ce fichier.
#
# Broadcast L'adresse de diffusion pour le sous-réseau vers lequel le
# Interface appartient. Pour PTP interfaces, cette
# Colonne est laissée blank.If l'interface a de multiples
Adresses # sur plusieurs sous-réseaux liste puis l'émission
# Adresses dans un fichier-liste séparée.
#
# Si vous utilisez la valeur spéciale "détecter", le pare-feu
# Permet de détecter l'adresse de diffusion pour vous. Si vous
# Sélectionnez cette option, l'interface doit être en place avant
# Le firewall est activé, vous devez avoir iproute
# Installés.
#
# Si vous ne voulez pas donner une valeur pour cette colonne, mais
# Vous voulez entrer une valeur dans la colonne d'options, entrez
# "-" Dans cette colonne.
#
# OPTIONS Une virgule sépare la liste d'options, dont la
# Following:
#
# DHCP - Définissez cette option lorsque l'une des
# Les suivantes sont remplies:
# 1. l'interface obtient son adresse IP
# Via DHCP
# 2. L'interface est utilisée par
# Un serveur DHCP fonctionne sur le pare-feu
# 3. Vous avez une IP statique, mais se trouvent sur un réseau local
# Segment, avec beaucoup de DHCP pour ordinateur portable
Nombre de clients.
# 4. l'interface est un pont à
# Un serveur DHCP sur un port et DHCP
Nombre de clients sur un autre port.
#
# Norfc1918 - Cette interface ne devrait pas recevoir
# Les paquets dont la source se trouve dans une
# Sur la plage réservée par la RFC 1918
# (Ie, privé ou de "non-routable"
# Adresses. Si modifier des paquets ou
#-Match suivi de connexion est activée dans
# Votre noyau, les paquets dont la destination
# Adresses sont réservées par la RFC 1918 sont
# Également été rejetée.
#
# Routefilter - tourner sur la route du noyau de filtrage pour cette
# Interface (mesure anti-spoofing). Cet
# Option peut également être activée dans le monde en
# Le fichier / etc / shorewall / shorewall.conf.
#
# Logmartians - activez le noyau martien journalisation (logging
# De paquets avec une source impossible
# Adresses. Il est suggéré que si vous
# Située sur une interface qui routefilter
# Vous logmartians également Septembre. Cette option
# Mai également être activé globalement dans la
# / Etc / shorewall / shorewall.conf.
#
# Blacklist - Vérifier les paquets arrivant sur cette interface
# Contre le fichier / etc / shorewall / blacklist
# Fichier.
#
# Maclist - les demandes de connexion provenant de cet interface
# On compare avec le contenu de
# / Etc / shorewall / maclist. Si cette option
# Est spécifié, l'interface doit être
# Une carte réseau Ethernet et doit être en place avant
# Shorewall est démarré.
#
Tcpflags # - Les paquets arrivant sur cette interface sont
# Vérifiée pour certaines combinaisons illégales
# De drapeaux TCP. Les paquets d'avoir trouvé
# Une telle combinaison de drapeaux sont manipulés
# Selon le réglage de
# TCP_FLAGS_DISPOSITION après avoir été
# Connecté en fonction du réglage de
# TCP_FLAGS_LOG_LEVEL.
#
# Proxyarp --
# Sets
# / Proc/sys/net/ipv4/conf / <interface> / proxy-arp.
# Ne pas utiliser cette option si vous êtes
# Employant proxy ARP via des entrées en
# / Etc / shorewall / proxyarp. Cette option est
# Uniquement destiné à être utilisé avec Proxy ARP
# Sous-réseau comme décrit à l'adresse:
# Http: / / www.tldp.org / HOWTO / mini / Proxy-ARP-Subnet
#
# Routeback - Si spécifié, indique que Shorewall
# Devrait comprendre des règles qui permettent
# Filtrage du trafic arrivant sur cette
# Interface retour que même interface.
#
# Arp_filter - Si elle est spécifiée, cette interface ne
# Répondez à-ARP qui a des demandes de la propriété intellectuelle
Adresses # configuré sur l'interface.
# S'il n'est pas spécifié, l'interface peut
# Répondre aux ARP who-has demandes de
# Adresses IP sur l'un des pare-feu
# Interface. L'interface doit être en place
# Quand Shorewall est démarré.
#
Arp_ignore # [= <number>]
# - S'il est spécifié, cette interface
# Répondre aux requêtes ARP sur la base des
# Valeur de <nombre>.
#
# 1 - réponse que si l'adresse IP cible
# Is adresse locale configurée sur le
# Interface entrants
#
# 2 - répondre uniquement si l'adresse IP cible
# Is adresse locale configurée sur le
# Interface d'entrée et les deux à la
# Adresse IP de l'expéditeur font partie du même
# Sous-réseau sur cette interface
#
# 3 - de ne pas répondre pour les adresses locales
# Configuré avec le champ d'accueil, seul
# Résolutions pour le mondial et le lien
Adresses # sont répondit
#
# 4-7 - réservés
#
# 8 - de ne pas répondre pour tous les locaux
# Adresses
#
# Si aucun <nombre> n'est donnée, alors la valeur
# 1 est supposé
#
# ATTENTION - NE PAS PRECISEZ arp_ignore
# Pour toute interface INTERVENANT DANS PROXY ARP.
#
# Nosmurfs - filtrer les paquets pour les Schtroumpfs
# (Les paquets avec une émission
# Adresse telle que la source).
#
# Schtroumpfs seront éventuellement connecté base
# Sur la fixation de SMURF_LOG_LEVEL dans
# Shorewall.conf. Après vous être connecté, les
# Paquets sont ignorés.
#
# Detectnets - Taylors automatiquement la zone nommée
# Dans la colonne ZONE pour inclure uniquement les
Hosts # acheminé via l'interface.
#
# UPnP - les demandes entrantes provenant de cette interface
# Mai être remappés via UPnP (upnpd).
#
# ATTENTION: Ne définissez pas l'option detectnets SUR VOTRE
# Interface Internet.
#
# L'ordre dans lequel vous dresser la liste des options n'est pas
# Notables, mais la liste ne devrait pas avoir intégré blanc
# Espace.
#
Exemple # 1: Supposons que vous avez eth0 connecté à un modem DSL et
# Eth1 est connecté à votre réseau local et que votre
# Sous-réseau local est 192.168.1.0/24. L'interface se
# Il est l'adresse IP via DHCP à partir de sous-réseau
# 206191149192/27. Vous disposez d'un sous-réseau DMZ avec
# 192.168.2.0/24 utilisant eth2.
#
# Vos entrées pour cette configuration pourrait ressembler:
#
# Net eth0 dhcp 206191149223
# Local eth1 192.168.1.255
# Dmz eth2 192.168.2.255
#
Exemple # 2: La même configuration sans préciser de diffusion
# Adresses est:
#
# Net eth0 détecter dhcp
# Loc eth1 détecter
# Dmz eth2 détecter
#
Exemple n ° 3: Vous avez une ligne simple dans le système sans ethernet
# Connections.
#
# Net ppp0 --
#
# Pour plus d'informations, voir
# # Http://shorewall.net/Documentation.htm Interfaces
#
################################################## #############################
# ZONE INTERFACE BROADCAST OPTIONS
net eth0 détecter routefilter, DHCP, tcpflags, logmartians, nosmurfs
# LAST LINE - ADD YOUR ENTRIES BEFORE THIS ONE - DO NOT REMOVE

Attention: Si vous avez un routeur au lieu de changer de modem eth0 par ppp0. En tout cas, essaient de s'adapter à nos besoins et la configuration.

2) Configurez le fichier de stratégie:

# Gedit / etc / shorewall / Politique

à l'intérieur nous copier ce:

# Shorewall version 3.0 - Exemple de fichier de politiques pour une configuration de l'interface.
#
# / Etc / shorewall / Politique
#
# L'ordre des entrées dans ce fichier est IMPORTANT
#
# Ce fichier détermine ce qu'il faut faire une nouvelle demande de connexion si nous
# Ne pas mettre une allumette dans le fichier / etc / shorewall / rules. Pour chaque
# Source / paire de destination, le dossier est traité dans l'ordre jusqu'à une
# Correspondance n'est trouvée ( "all" pour correspondre à n'importe quel client ou serveur).
#
# INTRA-politiques de zones sont pré-définis
#
# Pour FW $ pour l'ensemble des zonés et définie dans les zones de / etc shorewall / /,
# La politique pour les connexions à partir de la zone à elle-même est de l'accepter (sans
# Exploitation forestière, ou taux de connexion TCP limitant, mais mai être substituée par une
Nombre d'entrées dans ce fichier. L'entrée primordial doit être explicite (ne pouvez pas utiliser
# "All" à la source ou DEST).
#
# Les colonnes sont les suivantes:
#
# Source Source zone. Doit être le nom d'une zone définie
# Dans le fichier / etc / zones shorewall / FW $ ou "tous".
#
# DEST zone de destination. Doit être le nom d'une zone définie
# Dans le fichier / etc / zones shorewall /, $ FW ou "toutes"
#
# POLITIQUE POLITIQUE si aucune correspondance à partir du fichier de règles est trouvé. Devoir
# Faites «ACCEPTER», «baisse», «Refuser», «continuer» ou «none».
#
# ACCEPT - Accepter la connexion
# DROP - ignore la demande de connexion
# REJECT - Pour TCP, envoyer la TVD. Pour tous les autres,
# Send "port ICMP" inaccessible.
# QUEUE - Envoyer la demande à un espace utilisateur
# Application en utilisant la cible QUEUE.
# Continue - Passer la dernière demande de connexion
# Les autres règles auxquelles il pourrait aussi
# Match (où la source ou
# La zone de destination à ces règles est
# Un sur-ensemble de la source ou DEST
# Dans ce contrat).
# Aucun - Supposez qu'il n'y aura jamais de
# Des paquets provenant de cette source
# Pour ce DEST. Shorewall ne sera pas mis en
# Up aucune infrastructure pour gérer de tels
# Des paquets et vous mai ne pas avoir tout
# Règles à cette source et en DEST
# Le fichier / etc / shorewall / rules. Si
# _is_ Un tel paquet reçu, le
# Le résultat est indéfini. AUCUNE mai ne pas être
# Utilisé si la source ou DEST colonnes
# Contenir la zone pare-feu (FW $) ou
# "Tout".
#
# Si cette colonne contient ACCEPT, DROP ou REJECT et un
# Correspondant action commune est définie à
# / Etc / shorewall / actions (ou
# / Usr / share / shorewall / actions.std), alors que l'action
# Sera invoqué avant que la politique inscrits dans cette colonne
# Soit appliquée.
#
# LOG LEVEL S'il est fourni, chaque connexion manipulé dans la valeur par défaut
# POLICY est connecté à ce niveau. Si ce n'est pas fournie, aucune
# Log message est généré. Voir syslog.conf (5) pour une
# Description des niveaux de log.
#
# Commençant par Shorewall version 1.3.12, vous mai
# Précisent également ULOG (doit être en majuscules). Ce sera
# Se connecter à la ULOG cible et envoyé à un journal séparé
Grâce à l'utilisation de ulogd #
# (Http: / / www.gnumonks.org / projects / ulogd).
#
# Si vous ne voulez pas vous mais il faut préciser le
# Colonne suivante, le lieu "-" ici.
#
# LIMIT: BURST S'il est adopté, fixe le taux maximum de connexion TCP
# Et la taille d'un éclatement acceptable. S'il n'est pas spécifié,
# Connexions TCP ne sont pas limitées.
#
Voir http://shorewall.net/Documentation.htm # # Politique d'informations complémentaires.
#
################################################## #############################
# SOURCE DEST POLICY LOG LEVEL LIMIT: BURST
$ FW ACCEPT net
net et les informations DROP
# Le Conformément à la politique doit être le dernier
toutes les infos REJECT
# LAST LINE - ADD YOUR ENTRIES dessus de cette ligne - NE PAS OUVRIR

3) Créer des Zones fichier de configuration:

# Gedit / etc / shorewall / zones

à l'intérieur nous copier ce:

# Shorewall version 3.0 - exemple de fichier de configuration de zones un interface.
#
# / Etc / shorewall / zones
#
# Ce fichier détermine les zones de votre réseau.
#
# Les colonnes sont les suivantes:
#
# Nom de courte zone de la zone (5 caractères ou moins en longueur).
# Les noms "tous" et "none" sont réservés et mai ne pas être
# Utilisé en tant que noms de zone.
#
# Lorsque la zone est imbriqué dans un ou plusieurs autres zones,
# Vous mai suivez les (sous-) nom de zone par ":" et un
# Virgule sépare la liste des zones de parent. Le parent
# Doit zones ont été définies dans les dossiers précédemment dans le présent
# Fichier.
#
# Exemple:
#
# # ZONE TYPE OPTIONS
# IPv4
# B ipv4
# C: a, b ipv4
#
# Actuellement, Shorewall utilise cette information seulement pour réorganiser les
# Liste de zones, de sorte que les zones mère figure après leur sous-zones de
# La liste. À l'avenir, Shorewall mai faire appel plus largement
# De cette information.
#
# Type IPv4 - C'est la norme Shorewall type de zone et est le
# Par défaut, si vous laissez cette colonne vide ou si vous entrez
# "-" Dans la colonne. La communication avec certains hôtes zone
# Mai être crypté. Accueille chiffrés sont désignés à l'aide
# Le 'ipsec'option dans / etc / shorewall / hosts.
# IPsec - la communication avec tous les hôtes de zone est crypté
# Le noyau et iptables doit inclure la politique
Match # support.
# Firewall
# - Désigne le pare-feu lui-même. Vous devez avoir
Zone # Exactement un 'firewall'. Aucune option n'est
# Autorisé avec la zone A 'firewall'. Le nom que vous
# Entrez dans la colonne de zone sera stocké dans le réservoir
FW # La variable $, ce qui vous mai utiliser dans la configuration d'autres
# Fichiers sur le pare-feu les zones désignées.
#
# OPTIONS A comma-liste d'options séparées comme suit:
# Dans Options,
OUT # OPTIONS = id_requête <nombre> où <numéro> est spécifié
# Utilisation de setkey (8) en utilisant le «unique: <nombre>
# Option pour le niveau SPD.
#
# SPI = <nombre> <nombre> où est le SPI du
# La SA utilisée pour crypter / décrypter les paquets.
#
# Proto = ah | ESP | IPCOMP
#
MSS # = <nombre> (définit le champ dans les paquets TCP MSS)
#
# Mode = transport | tunnel
#
# Tunnel-src = <adresse> [/ <masque>] (uniquement
Disponible avec mode = tunnel #)
#
# Tunnel-dst = <adresse> [/ <masque>] (uniquement
Disponible avec mode = tunnel #)
#
# Façon rigoureuse que les paquets doivent correspondre à toutes les règles.
#
# Ensuite, les règles sépare, ne peut être utilisée avec
# .. Strict
#
# Exemple:
# Mode = transports, id_requête = 44
#
# Les options dans la colonne d'options sont appliquées à la fois entrants
# Et le trafic sortant. IN options sont appliquées à incoming
# Traffic (en plus des options) et les options OUT sont
# À Applied trafic sortant.
#
# Si vous souhaitez laisser une colonne vide, mais besoin de faire une entrée
# Dans une colonne suivante, utilisez «-».
#
# L'ordre des entrées dans ce fichier est IMPORTANT SI VOUS AVEZ imbriquée ou
# Zones de chevauchement défini par le fichier / etc / shorewall / hosts.
#
# # Voir imbriquées http://www.shorewall.net/Documentation.htm
################################################## #############################
# ZONE TYPE OPTIONS IN OUT
# OPTIONS OPTIONS
fw firewall
net ipv4
# LAST LINE - ADD YOUR ENTRIES ABOVE THIS ONE - DO NOT REMOVE

4) Configuration du fichier de règles.

# Gedit / etc / shorewall / rules

à l'intérieur nous copier ce:

# Shorewall version 3.0 - Exemple de fichier de règles pour une configuration de l'interface.
#
# / Etc / shorewall / rules
#
Règles # dans ce fichier régissent établissement de connexion. Les demandes et les
# Les réponses sont automatiquement autorisées à l'aide de suivi de connexion. Pour toute
# (Source particulière, dest) paire de zones, les règles sont évaluées dans le
# L'ordre dans lequel elles apparaissent dans ce fichier et le premier match est celui
# Qui détermine la disposition de la demande.
#
# Dans la plupart des lieux où une adresse IP ou de sous-réseau est autorisé, il
# Peut précéder l'adresse / sous-réseau avec "!" (par exemple,! 192.168.1.0/24) à
# Indique que la règle correspond à toutes les adresses, sauf l'adresse / sous-réseau
# Given. Remarquez que aucun espace blanc n'est autorisé entre les "!" et le
# Adresse / sous-réseau.
#--------------------------
# ATTENTION: Si vous mascarade ou utiliser SNAT à partir d'un système local à l'Internet
# Vous ne pouvez pas utiliser une règle d'accepter d'autoriser le trafic de l'Internet pour
# Ce système. Vous * devez * utiliser une règle DNAT à la place.
#--------------------------
#
# Le fichier de règles est divisé en sections. Chaque section est introduite par
# A "section d'en-tête" qui est une ligne commençant par la section suivie par la
# Nom de la Section.
#
# Les articles sont comme suit et doit figurer dans l'ordre indiqué:
#
# ETABLI paquets dans l'état ESTABLISHED sont traitées
# Par des règles dans cette section.
#
# Les seules actions admises dans cette section sont
# ACCEPT, DROP, REJECT, LOG et QUEUE
#
# Il ya une règle implicite insérée ACCEPT
# À la fin de cette section.
#
# Les paquets correspondant à l'état CONNEXES sont traitées par
# Règles dans cette section.
#
# Les seules actions admises dans cette section sont
# ACCEPT, DROP, REJECT, LOG et QUEUE
#
# Il ya une règle implicite insérée ACCEPT
# À la fin de cette section.
#
# Packets nouveau dans le nouvel et invalide les Etats sont
# Traités par les règles de cette section.
#
# ATTENTION: Si vous spécifiez FASTACCEPT = Yes dans shorewall.conf alors la
# ESTABLISHED et les articles connexes doit être vide.
#
# Note: Si vous n'êtes pas familier avec Netfilter, au point où vous êtes
# Confortable avec les différences entre la connexion de divers
# États de suivi, alors je suggère que vous omettez les vedettes établies et
# Articles connexes et le lieu de tous vos règles dans la nouvelle section.
#
# Vous mai omettre toute section que vous n'avez pas besoin. Si non-têtes de section apparaissent
# Dans le fichier, toutes les règles sont censées être dans la nouvelle section.
#
# Les colonnes sont les suivantes:
#
# ACTION ACCEPT, DROP, REJECT, DNAT, DNAT, REDIRECT, de continuer,
# LOG, QUEUE ou un <action>.
#
# ACCEPT - permettre à la demande de connexion
ACCEPT # + - comme accepter, mais exclut aussi les
# Connexion de toute suite
# DNAT [-] ou REDIRECT [-] Les règles
# Nonat - Exclut la connexion de tout
# Ultérieurement DNAT [-] ou REDIRECT [-]
# Règles, mais ne génère pas une règle
# Pour accepter le trafic.
# DROP - ignorer la demande
# REJECT - rejeter la demande et retourner un
# ICMP inaccessible ou un paquet RST.
# DNAT - transmet la demande à l'autre
# System (et éventuellement un autre
# Port).
# DNAT - Les utilisateurs avancés uniquement.
# Comme DNAT, mais ne génère que les
# Règle iptables DNAT et non
# L'ACCEPTER compagnon règle.
# Même - Similaire à la DNAT, sauf que le
# Port mai ne pas être remappés et quand
# Les adresses des serveurs multiples sont
# La mise en ligne, toutes les demandes à partir d'une donnée
# System Remote aller à la même
# Server.
# Mêmes utilisateurs - Advanced seulement.
# Comme MEME, mais ne génère que les
# Règle iptables NAT et non
# L'ACCEPTER compagnon règle.
# REDIRECT - Rediriger la demande vers un local
# Port sur le pare-feu.
# REDIRECT --
# - Les utilisateurs avancés uniquement.
# Comme rediret mais ne génère que les
# REDIRECT règle iptables et non
# L'ACCEPTER compagnon règle.
#
# Continue - (réservé aux experts). Ne pas traiter
# L'une des règles suivantes pour ce
# (Zone source, d'une zone de destination). Si
# La source et / ou IP de destination
# Adresse tombe dans une zone définie
# Plus tard dans / etc / shorewall / zones, cette
# De demande de connexion sera transmise
# Pour les règles définies pour que
# (Ceux zone) (s).
# LOG - log simplement le paquet et continuer.
# QUEUE - File d'attente le paquet vers un espace utilisateur
# Des applications telles que ftwall
# (Http: / / p2pwall.sf.net).
# <action> - Le nom d'une action définie dans
# / Etc / actions shorewall / ou dans
# / Usr / share / shorewall / actions.std.
# <macro> - Le nom d'une macro définie dans un
# File macro nommée. <macro-name>. Si
# La macro accepte un recours
# Paramètre (Regardez la macro
# Source pour voir si elle en a PARAM
# La colonne cible) puis la macro
# Nom est suivi de "/" et le
# Action (ACCEPT, DROP, REJECT, ...)
# Pour être substituée à la
# Parameter. Exemple: FTP / ACCEPT.
#
# L'ACTION mai éventuellement être suivie
# Par ":" et d'un niveau de journalisation syslog (par exemple, REJECT: info ou
# DNAT: debug). Cela provoque le paquet à
# Enregistrées au niveau spécifié.
#
# Si les noms d'actions une action définie dans
# / Etc / actions shorewall / ou dans
# / Usr / share / shorewall / actions.std alors:
#
# - Si le niveau de journalisation est suivi par "! alors toutes les règles
# Dans l'action sont enregistrés au niveau de journalisation.
#
# - Si le niveau de journalisation n'est pas suivi par "!" alors seulement
# Ces règles dans l'action qui ne spécifient pas
# D'exploitation sont enregistrées au niveau spécifié.
#
# - Aucun Le niveau de journal spécial "! Supprime l'exploitation forestière
# Par l'action.
#
# Vous mai également spécifier ULOG (doit être en majuscules) comme un
# Enregistre dans le journal level.This ULOG cible pour le routage
# Pour un journal distinct par l'utilisation de ulogd
# (Http: / / www.gnumonks.org / projects / ulogd).
#
# Actions précisant l'exploitation forestière mai sera suivie d'une
Le tag # Log (une chaîne de caractères alphanumériques)
# Sont ajoutées à la chaîne générée par le
# LOGPREFIX (dans / etc / shorewall / shorewall.conf).
#
# Exemple: ACCEPT: info: ftp comprendrait 'ftp'
# À la fin du journal généré par le préfixe
# LOGPREFIX réglage.
#
# Hôtes SOURCE source à laquelle la règle s'applique. Mai être une zone
# Défini dans / etc / shorewall zones /, $ FW de fixer le
# Pare-feu lui-même, «tous», «tous +" ou "none" Si l'action
# Is zones DNAT ou de réorienter, sub-des zones visées
# Mai être exclus de la règle par la suite de la Zone
# Nom d'un "!" et une virgule liste séparée par des zones sub -
# Noms.
#
# Quand «Néant» est utilisé soit dans sa source ou DEST
# Colonne, la règle est ignorée.
#
# Lorsque «tout» est utilisé soit dans sa source ou de la colonne DEST
# Trafic intra-zone n'est pas touchée. Quand «tout +" est
# Occasion, le trafic intra-zone est affecté.
#
# Sauf quand «tous [+]" est spécifié, les clients mai être
# Plus restreint à une liste de sous-réseaux et / ou des hôtes par
# Ajout ":" et une virgule liste séparée par des sous-réseaux
# Et / ou des hôtes. Hôtes mai préciser par adresse IP ou MAC
# Adresse; adresses MAC doit commencer par "~" et doit utiliser
# "-" Comme séparateur.
#
Hosts # mai être spécifié comme une plage d'adresses IP en utilisant le
# Syntaxe <low address> - <high adresse>. Cela exige que
# Le noyau et iptables contiennent soutien match iprange.
# Si vous noyau et iptables ont Match IPSET soutien
# Mai Ensuite, vous donner le nom d'une IPSET préfacé par "+".
IPSET # Le nom mai éventuellement être suivi d'un numéro
# De 1 à 6 entre crochets ([]) pour
# Indique le nombre de niveaux de consolidations source à
# Égalés.
#
# DMZ: 192.168.2.2 Host 192.168.2.2 dans la zone démilitarisée
#
# Net: 155.186.235.0/24 de sous-réseau 155.186.235.0/24 sur la
# Internet
#
# Loc: 192.168.1.1,192.168.1.2
# Hosts 192.168.1.1 et
# 192.168.1.2 dans les régions locales.
# Loc: ~ 00-A0-C9-15-39-78 hôtes dans les zones locales avec
# Adresse MAC 00: A0: C9: 15:39:78.
#
# Net :192.0.2.11-192 .0.2.17
# Hôtes en 192.0.2.11-192.0.2.17
# La zone nette.
#
# Alternativement, les clients mai être spécifié par l'interface
# En ajoutant ":" au nom de la zone suivie par la
# Nom de l'interface. Par exemple, loc: eth1 spécifie une
# Client qui communique avec le système de pare-feu
# À eth1. Cette mai éventuellement être suivie par
# Un autre (":") colon et un réseau IP / MAC / adresse de sous-réseau
# Comme décrit ci-dessus (par exemple, loc: eth1: 192.168.1.5).
#
DEST # Emplacement du serveur. Mai être une zone définie à
# / Etc / zones shorewall /, $ FW de fixer le pare-feu
# Lui-même, "tous". «tous +" ou "none".
#
# Quand «Néant» est utilisé soit dans sa source ou DEST
# Colonne, la règle est ignorée.
#
# Lorsque «tout» est utilisé soit dans sa source ou de la colonne DEST
# Trafic intra-zone n'est pas touchée. Quand «tout +" est
# Occasion, le trafic intra-zone est affecté.
#
# Sauf quand «tous [+]» est spécifiée, le serveur mai être
# Plus limitée à un sous-réseau particulier, d'accueil ou
# Interface en ajoutant: "et le sous-réseau, un hôte ou
# Interface. Voir ci-dessus.
#
# Restrictions:
#
# 1. Les adresses MAC ne sont pas autorisés.
# 2. Dans les règles DNAT, seules les adresses IP sont
# Admis, pas de noms de domaine complets ou sous-réseau des adresses
# Sont autorisés.
# 3. Vous mai pas spécifier à la fois une interface et
# Une adresse.
#
# Comme dans la colonne Source, vous mai spécifier une plage de
# Jusqu'à 256 adresses IP en utilisant la syntaxe
# IP> <Prénom - <last ip>. Lorsque l'action est DNAT ou DNAT,
# Les connexions seront affectés à des adresses dans la
# Range dans un round-robin.
#
# Si vous noyau et iptables ont Match IPSET soutien
# Mai Ensuite, vous donner le nom d'une IPSET préfacé par "+".
IPSET # Le nom mai éventuellement être suivi d'un numéro
# De 1 à 6 entre crochets ([]) pour
# Indique le nombre de niveaux de destination reliures
# Pour être jumelés. Une seule de la source et DEST colonnes
# Mai spécifier un nom IPSET.
#
# Le port que le serveur est en écoute sur mai être
# Included et séparé de l'adresse IP du serveur en
# ":". S'il est omis, le pare-feu ne sera pas le MoDifiy
# Port de destination. Un port de destination mai seulement être
# Inclus si cette action est DNAT ou rediriger.
#
# Exemple: Loc: 192.168.1.3:3128 spécifie une locale
# Server à l'adresse IP 192.168.1.3 et l'écoute sur le port
# 3128. Le numéro de port doit être spécifié comme un entier
# Et non pas comme un nom présent dans / etc / services.
#
# Si l'action est REDIRECT, cette colonne doit uniquement
# Contient le numéro de port sur le pare-feu que le
# Demande devrait être redirigé vers.
#
# PROTO Protocole - Doit être "tcp", "udp", "ICMP", "ipp2p"
# "Ipp2p: UDP", "ipp2p: tous» au numéro, ou "tous".
# "Ipp2p *" nécessite un soutien match ipp2p dans votre noyau
# Et iptables.
#
# DEST PORT (S) Destination Ports. Une liste séparée par des virgules de Port
# Noms (de / etc / services), les numéros de port ou port
Cuisinières #, si le protocole est "ICMP", cette colonne est
# Interprété comme le icmp destination-type (s).
#
# Si le protocole est ipp2p, cette colonne est interprété
# Ipp2p comme une option sans le "-" (par exemple
# "" Bit pour bit-Torrent). Si aucun port n'est donné ", ipp2p» est
# Supposé.
#
# Un port série est exprimée en <low port>: <high port>.
#
# Cette colonne est ignorée si le Protocole = toutes, mais doit être
# Entré si l'un des ields suivants sont fournis.
# Dans ce cas, il est suggéré que ce champ contient
# "-"
#
# Si votre noyau contient le support multi-match port, puis
# Une seule règle Netfilter sera généré si, dans
# Cette liste et le port client (S) La liste ci-dessous:
# 1. Il ya 15 ou moins de ports répertoriés.
# 2. Aucun des plages de ports sont inclus.
# Sinon, une règle distinct va être créé pour chaque
# Port.
#
# Port (s) (facultatif) port (s) utilisé par le client. S'il est omis,
# D'un port source est acceptable. Spécifiée comme une virgule --
# Liste de noms de ports, les numéros de port ou port
# Ranges.
#
# Si vous ne voulez pas de restreindre les ports client, mais nécessité de
# Spécifier un DEST ORIGINAL dans la colonne suivante, puis
# Place "-" dans cette colonne.
#
# Si votre noyau contient le support multi-match port, puis
# Une seule règle Netfilter sera généré si, dans
# Cette liste et le DEST PORT (S) La liste ci-dessus:
# 1. Il ya 15 ou moins de ports répertoriés.
# 2. Aucun des plages de ports sont inclus.
# Sinon, une règle distinct va être créé pour chaque
# Port.
#
# ORIGINAL DEST (0ptional) - si l'action est DNAT [-] ou REDIRECT [-]
# Ensuite, si elles sont comprises et différente de l'IP
# Adresse indiquée dans la colonne Server, il s'agit d'une adresse
# Sur certains interface sur le pare-feu et les connexions à
# Cette adresse ne sera transmise à l'adresse IP et le port
# Indiquée dans la colonne DEST.
#
# Virgules liste d'adresses séparées mai également être utilisés.
# Ceci est généralement le plus utile avec la cible REDIRECT
# Lorsque vous souhaitez rediriger le trafic destiné à
# Série particulière d'hôtes.
#
# Finalement, si la liste des adresses commençant par "!" puis
# La règle sera suivie que si l'original
# Adresse de destination dans la demande de connexion n'est pas
# Match ou l'autre des adresses indiquées.
#
# Pour les autres actions, cette colonne mai être inclus et mai
# Contenir une ou plusieurs adresse (host ou un réseau)
# Séparé par des virgules. Les tranches d'adresses ne sont pas autorisés.
# Lorsque cette colonne est fourni, les règles sont générées
# Cela exiger que l'original l'adresse de destination
# Correspond à une des adresses répertoriées. Cette fonctionnalité est
# Plus utile lorsque vous souhaitez générer une règle de filtrage
# Ceci correspond à une DNAT-ou de réorienter la règle. Dans ce
# Usage, la liste des adresses ne doivent pas commencer par "."
#
# Voir http://shorewall.net/PortKnocking.html pour une
# Exemple d'utilisation d'une entrée dans cette colonne avec une
# L'utilisateur défini par action de règle.
#
# Taux limite que vous avez mai taux limite de la règle en plaçant une valeur dans
# Ce Colum:
#
# <rate> / <intervalle> [: <burst>]
#
<rate> Où # est le nombre de connexions pour les
# <intervalle> ( "SEC" ou "min") et est le <burst>
# La plus grande rafale autorisée. Si aucune <burst> est donné,
# Une valeur de 5 est pris en charge. Il n'y pas de mai
# Aucun espace intégré dans la spécification.
#
# Exemple: 10/Sec: 20
#
# Utilisateur / groupe Cette colonne mai ne sera pas vide si la source est
# Le pare-feu lui-même.
#
# La colonne mai contenir:
#
# [!][< Nom d'utilisateur ou le nom du groupe ou le nombre >][:< nombre >][+< nom du programme>]
#
# Lorsque cette colonne n'est pas vide, la règle s'applique uniquement
# Si le programme de génération de la sortie est exécuté sous
# L'efficacité <utilisateur> et / ou <group> spécifié (ou est
# Exécute pas sous cette identité si "!" est donnée).
#
# Exemples:
#
# # Joe programme doit être exécuté par Joe
#: Programme Kids # doit être lancé par un membre du
# # Le groupe «enfants»
#!: Programme Kids # doit pas être exécuté par un membre
# # Du groupe 'Kids'
Upnpd # + # programme nommé upnpd (Cette fonctionnalité a été
# # Removed from Netfilter dans le noyau
# # Version 2.6.14).
#
# Example: SMTP Accepter les demandes de la zone démilitarisée à l'internet
#
# # SOURCE DEST PROTO DEST SOURCE D'ACTION ORIGINAL
# # PORT PORT (S) DEST
# ACCEPT net dmz tcp smtp
#
# Exemple: les demandes de connexion sur Transférer tout le SSH et HTTP de la
# Internet vers le système local 192.168.1.3
#
# # SOURCE DEST PROTO DEST SOURCE D'ACTION ORIGINAL
# # PORT PORT (S) DEST
# DNAT net loc: 192.168.1.3 ssh TCP, HTTP
#
# Exemple: transmettre toutes les demandes de connexion HTTP à partir d'Internet
# Pour système local 192.168.1.3 avec une limite de 3 par seconde et
# Un éclat maximum de 10
#
# # SOURCE DEST PROTO DEST SOURCE ORIGINAL action tarifaire
# # PORT PORT (S) DEST LIMIT
# DNAT net loc: 192.168.1.3 http tcp - - 3/sec: 10
#
# Exemple: rediriger tous localement originaires les demandes de connexion à www
# Port 3128 sur le pare-feu (Squid tournant sur le pare-feu
# System), sauf lorsque l'adresse de destination est 192.168.2.2
#
# # SOURCE DEST PROTO DEST SOURCE D'ACTION ORIGINAL
# # PORT PORT (S) DEST
# REDIRECT loc 3128 tcp www -! 192.168.2.2
#
# Exemple: Toutes les demandes HTTP à partir de l'Internet pour traiter
# 130.252.100.69 doivent être transmis à 192.168.1.3
#
# # SOURCE DEST PROTO DEST SOURCE D'ACTION ORIGINAL
# # PORT PORT (S) DEST
# DNAT net loc: 192.168.1.3 tcp 80 - 130.252.100.69
#
# Exemple: Vous voulez accepter les connexions SSH sur votre pare-feu uniquement
# A partir des adresses Internet IP 130.252.100.69 et 130.252.100.70
#
# # SOURCE DEST PROTO DEST SOURCE D'ACTION ORIGINAL
# # PORT PORT (S) DEST
# ACCEPT net: $ FW 130.252.100.69,130.252.100.70 \
# TCP 22
################################################## ##############
# ACTION SOURCE DEST PROTO DEST SOURCE ORIGINAL RATE USER /
# PORT PORT (S) DEST LIMIT GROUP

# Reject Ping de la zone de "mauvais" net .. et empêcher votre journal d'être inondées ..

Ping / REJECT net $ FW

# Autoriser tout le trafic ICMP à partir du pare-feu dans les zones net

ACCEPT $ FW net icmp

# LAST LINE - ADD YOUR ENTRIES BEFORE THIS ONE - DO NOT REMOVE

Dans ce fichier sont définies les règles d'accès, il est donc ici que, selon les besoins de chacun de nous doit ouvrir les ports pour les programmes que nous utilisons. Par les exemples avec aMule, Déluge, FTP, avant la dernière ligne:

# LAST LINE - ADD YOUR ENTRIES BEFORE THIS ONE - DO NOT REMOVE

devraient être ajoutés à des règles:

# AMule
ACCEPT net $ FW tcp 4662
ACCEPT net $ FW tcp 4662
ACCEPT net $ FW udp 4672
ACCEPT net $ FW udp 4672
ACCEPT net $ FW udp 4665
ACCEPT net $ FW udp 4665

# FTP en mode passif
ACCEPT net $ FW tcp 21
ACCEPT $ FW tcp net 21
ACCEPT net $ FW tcp 50000:50100
ACCEPT net $ FW tcp 50000:50100

# Déluge
ACCEPT net $ FW tcp 6881:6889
ACCEPT net $ FW tcp 6881:6889

5) Pour permettre Shorewall démarrage:

# Gedit / etc / default / shorewall

et remplacer "startup = 0" par "startup = 1"

6) shorewall Run:

# Lancer Shorewall

7) Après avoir apporté quelques modifications:

# Shorewall restart

Pour beaucoup d'autres informations, notamment les plus approfondi et complet, directement ici.

Poste similaire (ou presque):

1. Scripts pour Gmail récupère le courrier électronique à partir de Gmail je ...
2. Fichier Cryptare Chacun de nous, plus ou moins, est jaloux de ...
3. Super Grub Disk sur une clé USB Super Grub Disk est très utile, comme nous le savons, est un ...
4. Crypter des fichiers avec encfs il un autre moyen d'ailleurs pour cette ...
5. Mcrypt-crypter des fichiers Ceci est un petit truc pour chiffrer rapidement ...

Article écrit le Lundi 8 Décembre, 2008 à 18:08 et est classé dans Applications, Debian, GNU-Linux, Réseau, Sécurité, Utilitaires. Vous pouvez suivre les réponses à cet article vous abonner au flux RSS 2.0. Vous pouvez écrire un commentaire, ou faire un trackback depuis un site personnel.