のshorewall（海岸線のファイアウォール）は、システムにNetfilterの（iptablesの/ ipchainsを感じましたファイアウォール）は、Linuxカーネルは、高度なネットワーク構成を簡単に管理します。 のshorewallインストールを開始する前に、まず他のファイアウォールをアンインストールする必要があります。 例：Firestarterを：

# apt-get remove --purge firestarter

# apt-get install shorewall shorewall-common shorewall-shell shorewall-doc dash

1) Partiamo con la configurazione del file interfaces:

#には/ etc /のshorewall / interfacesに

中には、このコピー：

＃shorewallのバージョン3.0 -サンプルインターフェイスのファイルを1つのインターフェイスの構成です。
＃
＃/その他/のshorewall / interfacesに
＃
＃あなたは上の各ネットワークインターフェイスは、このファイル内のエントリを追加する必要があります
＃ファイアウォールシステムです。
＃
＃コラムです：
＃
＃ゾーンゾーンは、このインターフェイスのため。 の名前と一致する必要があります
＃ゾーンの/ etc / shorewallの定義/ゾーン。 あなたがされないことが
＃一覧は、この列には、ファイアウォールゾーン。
＃
＃場合は、インターフェイスに複数のゾーン機能になる
＃は、/ etc / shorewallので定義され/ hostsファイルは、ファイルする必要があります
＃場所" - "この列です。
＃
同じ地域に＃がある場合は、複数のインターフェイス、
＃あなたの個別のエントリにリストする必要があります：
＃
＃例：
＃
＃スリナガルeth1の-
＃スリナガルeth2を-
＃
＃インターフェイスのインターフェイス名。 各インターフェイスでのみ表示される可能性があります
＃このファイルをいったんです。 あなたがNOTの名前を指定することがあります
＃エイリアス（例は、eth0：0）ここで、参照してください
＃＃＃はhttp：/ / www.shorewall.net / FAQ.htm faq18
＃
# You may specify wildcards here. 例えば、もし
＃ウォント氏は、すべてのPPPに適用されるエントリを作成する
＃インターフェイスを使用するのPPP +'。
＃
＃必要はありません（LO）のループバックインターフェイスを定義することです
＃このファイルには。
＃
＃のBROADCASTブロードキャストアドレスは、Subnetworkのためにするには
＃インターフェイス属している。 用PTPは、このインターフェイス
＃カラムのインターフェイスblank.If複数の残っている
複数のサブネット上の＃アドレスを配信リスト
カンマで区切られたリストとして＃アドレス。
＃
場合は、特別な値"を使用する＃"を検出すると、ファイアウォール
＃あなたのためのブロードキャストアドレスを検出します。 場合
＃このオプションを選択インターフェイスをする前にする必要があります
＃ファイアウォール起動すると、iprouteでいる必要があります
＃インストールされます。
＃
したくない場合は、この列の値が与えるため＃
＃を入力してOPTIONS列で、値を入力する
＃" - "このコラムでは。
＃
＃オプションカンマなどのオプションで区切られたリスト
＃以下：
＃
＃DHCPの-を指定するこのオプションは、任意の
真の次の＃されます：
＃1。 インターフェイスのIPアドレスを取得する
＃でDHCP
＃2。 インターフェイスで使用されて
＃DHCPサーバは、ファイアウォール上で実行している
＃3。 あなたが静的IPアドレスがあるが、LAN上に
DHCPのノートパソコンとたくさんの＃セグメント
＃クライアント。
＃4。 インターフェイスは、ブリッジとは
＃1つのポート、およびDHCPのDHCPサーバ
別のポート上の＃クライアント。
＃
＃Norfc1918 -受信しないでください、このインターフェイス
＃すべてのパケットをだれのソースは1つです
＃の範囲は、RFC 1918で予約の
＃（すなわち、プライベートまたは"非ルーティング"
＃アドレス。 パケットの修飾またはIf
＃コネクション追跡の試合で有効になって
＃あなたのカーネルは、パケットは誰の宛先
＃アドレスは、RFC 1918によって予約されている
＃また、拒否されました。
＃
＃Routefilter -カーネルのルートは、このフィルタリングをオンに
＃インターフェイス（アンチスプーフィング対策）。 この
＃オプションは、グローバルで有効にすることができます
＃は/ etc / shorewallの/ shorewall.confファイルです。
＃
＃Logmartians -カーネル火星上でロギングをオン（ロギング
＃不可能なソースを持つパケットの
＃アドレス。 それを提案されている場合は、
＃設定するインターフェイス上でroutefilter
＃また、9月logmartians。 このオプションは、
＃また、グローバルで有効にする05
＃は/ etc / shorewallの/ shorewall.confファイルです。
＃
＃ブラックリスト-空のパケットはこのインターフェイスに到着
＃は、/ etc / shorewallの反対/ブラックリスト
ファイル＃。
＃
＃Maclist -このインターフェイスからの接続要求
# are compared against the contents of
＃は/ etc / shorewallの/ maclist。 このオプションが
＃は、インターフェイスする必要があります指定されたか
# an ethernet NIC and must be up before
＃のshorewall開始されます。
＃
＃Tcpflags -パケットは、このインターフェイス上で到着している
＃特定の不正な組み合わせをチェック
＃TCPフラグの。 パケットがあるとする
＃フラグのような組み合わせて処理されます。
＃設定によると、
＃TCP_FLAGS_DISPOSITIONされた後を
＃設定によると、記録さ
＃TCP_FLAGS_LOG_LEVEL。
＃
＃Proxyarp -
＃セット
＃/ Proc/sys/net/ipv4/conf / <interface>は、/ proxy_arp。
もし、あなたが＃しないこのオプションを使用しています
＃を採用し、プロキシARPエントリを通じて
＃は/ etc / shorewallの/ proxyarp。 このオプションは、
＃を単独で、プロキシARPを使用するためのもの
＃サブで説明さネットワーク：
＃はhttp：/ / www.tldp.org / HOWTOディレクトリを/ミニ/プロキシARPのサブネット
＃
＃Routeback -指定した場合、ことを示してのshorewall
＃は、許可するルールを含めれば
＃フィルタのトラフィックは、この上に到着
＃インターフェイスは、同じインターフェイスを取り消す。
＃
＃Arp_filter -指定した場合、このインターフェイスにのみ
＃対応のARPは、IPアドレスを要求しています
＃アドレスは、インターフェイス上で構成されます。
＃指定しない場合は、インターフェイスすることができます
＃対応のARPは、要求しています
任意の上の＃IPアドレスは、ファイアウォールの
＃インターフェイス。 インターフェイスをする必要があります
＃時のshorewall開始されます。
＃
Arp_ignore＃[= <数値>]
＃ -指定した場合、このインターフェイスが
＃対応のARP要求に基づいて
＃値の<番号>。
＃
＃1 -応答の場合にのみターゲットのIPアドレス
＃ローカルアドレスで構成され
＃着信インターフェイス
＃
＃2 -応答の場合にのみターゲットのIPアドレス
＃ローカルアドレスで構成され
＃着信インターフェイスの両方で
＃送信者のIPアドレスと同じからの一部です
＃ネットは、このインターフェイス上で
＃
＃3 -ローカルアドレスには返信しないでください
＃範囲のホストを構成のみ
＃決議のグローバルとリンク
＃アドレス答えている
＃
＃4-7 -予約
＃
＃8 -すべてのローカルに返信しないでください
＃アドレス
＃
＃ていない場合は<番号>して、値が与えられます
＃1とみなされます
＃
＃警告-実際にしないように指定arp_ignore
＃任意のインターフェイス用のプロキシARPは関わった。
＃
＃Nosmurfs -スマーフのためのフィルタのパケット
放送と＃（パケット
ソースとして＃アドレス）。
＃
＃スマーフオプション基づいて記録されます。
＃SMURF_LOG_LEVELの設定でオン
＃Shorewall.conf。 ログイン後、
# packets are dropped.
＃
＃Detectnets -自動的にゾーンの名前テイラーズ
＃ZONE列でのみを含むように
＃ホストは、インターフェイスを介してルーティングされます。
＃
＃UPnP対応-このインターフェイスからの着信要求
＃UPnPの（）を介しupnpdリマップされる5。
＃
＃警告：にないdetectnetsオプション設定でください
＃インターネットのインターフェイス。
＃
＃どちらにするオプションのリストではありません
＃しかし、重要なリストは、白い埋め込まれている必要があります
＃スペース。
＃
＃例1：eth0のDSLモデムに接続されていると仮定
＃eth1のローカルネットワークに接続するとは、お客様
＃ローカルのサブネット192.168.1.0/24です。 インターフェイスを取得
# it's IP address via DHCP from subnet
＃27分の206191149192。 サブネットを使用したDMZている
＃192.168.2.0/24 eth2を使用して。
＃
＃これは、セットアップのためのあなたのエントリのようになります：
＃
＃ネットeth0をdhcpの206191149223
＃ローカルeth1の192.168.1.255
＃DMZのeth2を192.168.2.255
＃
例2：同じ設定のブロードキャストを指定せずに
＃アドレスです：
＃
＃ネットeth0をdhcpの検出
＃スリナガルeth1の検出
＃DMZのeth2を検出する
＃
例＃3：簡単なダイヤルしてシステムにはイーサネットと
＃接続。
＃
＃ネットppp0を-
＃
＃追加情報については、参照してください
＃＃インターフェイスhttp://shorewall.net/Documentation.htm
＃
################################################## #############################
＃ゾーンインタフェースブロードキャストオプション
eth0をroutefilterは、DHCP、tcpflags検出ネットlogmartians、nosmurfs
＃最終行に-を追加してエントリの前にこの1つ-しないと削除

警告：もしppp0のとモデムを変更eth0の代わりにルータがある。 いずれにせよ、我々のニーズや構成に適応しようとします。

2）は、ポリシーファイルの構成：

＃Geditには/ etc / shorewallの/ポリシー

中には、このコピー：

＃shorewallのバージョン3.0 -サンプルのポリシーファイルの1つのインターフェイスの構成です。
＃
＃は/ etc / shorewallの/ポリシー
＃
＃エントリの順序では、このファイル重要です
＃
＃このファイルには、新しい接続要求を行うかを決定すれば
＃は、/ etc / shorewallのから試合をしないでね/ルールファイルです。 それぞれについて
＃ソース/宛先ペアのファイルを順番にまで処理され
＃マッチが見つかった場合（"すべて"）、任意のクライアントまたはサーバーに一致します。
＃
＃イントラゾーン政策プレ定義されて
＃
# For $FW and for all of the zoned defined in /etc/shorewall/zones,
＃接続のためのポリシーは、ゾーン自体から同意しない（とされ
＃ロギングまたはTCPの接続速度を制限することも上書きすることがで
このファイル内のエントリ数。 オーバーライドするエントリ（を使用することはできません明示しなければならない
＃"すべて"のSOURCEまたはdestに）。
＃
＃コラムです：
＃
＃ソースソースゾーン。 定義されたゾーンの名前をする必要があります
＃は/ etc / shorewallの/ゾーン、$デジタル一やで"すべての"。
＃
＃destが目的地のゾーンです。 定義されたゾーンの名前をする必要があります
＃は/ etc / shorewallの/ゾーン、$デジタル一か"ですべての"
＃
＃ポリシーのポリシーの場合は、ルールファイルからの一致が検出されます。 〜しなければならない
＃"てください同意する"、"ドロップ"、"拒否"、"続ける"または"none"です。
＃
＃同意-接続を受け入れる
＃ドロップ-接続要求を無視する
のREJECT＃ - TCPについては、RSTを送信します。 他のすべてについては、
"ポート到達不能"ICMPの送信＃。
＃ブリー-ユーザーに要求を送信する空間
＃アプリケーションのQUEUEターゲットを使用して。
＃続けます-峠の接続要求を、過去
＃その他のルールは、その可能性も
＃マッチ（ここでは、ソースまたは
これらのルール＃で目的地のゾーンです
＃SOURCEまたはdestのスーパー
＃このポリシーでは）。
＃なし-があるすべてのことは決して仮定
# packets from this SOURCE
＃これはdestに。 shorewallの設定しません
＃任意のインフラストラクチャを開設を処理するような
＃パケットとを所有していない可能性があります
このソースおよびDEST＃を規則で
＃は/ etc /のshorewall / rulesのファイルです。 もし
# such a packet _is_ received, the
＃結果は未定義です。 NONEをすることができない
＃使用する場合は、SOURCEまたはdestが列
＃は、ファイアウォールゾーン（$デジタル一）、または含まれている
＃"すべての"。
＃
＃もし、このコラムはACCEPT、DROPまたはREJECTが含まれて
＃対応する一般的なアクションで定義され
＃は/ etc / shorewallの/アクション（または
＃/ Usr /共有/のshorewall / actions.std）し、その行動
＃ポリシーは、この列の名前の前に呼び出される
＃強制です。
＃
場合、付属の＃ログレベルで、それぞれの接続は、デフォルトの下処理
＃ポリシーのレベルでログに記録されます。 場合は、付属していませんが
＃ログメッセージが生成されます。 を参照のsyslog.conf（5）の
ログレベルの＃説明します。
＃
＃shorewallのバージョン1.3.12以降では、することがあります
＃また、ULOGを指定します（大文字で）必要があります。 このような意思
＃ターゲットのULOGにログインし、別のログに送られる
を使用することによりulogdの＃
＃（はhttp：/ / www.gnumonks.org /プロジェクト/ ulogdの）。
＃
＃もしログに記録するのではなく、指定する必要があります
＃次の列の場所" - "ここで。
＃
＃のLIMIT：バーストが成立すれば、最大TCP接続のレートを指定する
＃また、許容バーストのサイズ。 場合は、指定されない
＃TCP接続が制限されていません。
＃
追加情報についてはhttp://shorewall.net/Documentation.htm＃＃ポリシーをご覧ください。
＃
################################################## #############################
＃ソースdestがポリシーログレベルの制限：バースト
$デジタル一純同意する
ネットすべてのドロップ情報をもっと見る
＃次のポリシーをしなければ最後になる
すべてのすべてのREJECT情報をもっと見る
＃最終行の追加-エントリの上のこのライン-しないと削除

3）設定ファイルのゾーンを作成：

＃Geditには/ etc / shorewallの/ゾーン

中には、このコピー：

＃shorewallのバージョン3.0 -サンプルファイルのゾーンの1つのインターフェイスの構成。
＃
＃は/ etc / shorewallの/ゾーン
＃
＃このファイルは、ネットワークゾーンを決定します。
＃
＃コラムです：
＃
ゾーン＃ゾーンショート名（5文字以上の長さ以下）。
＃名前は"all"と"none"と予約されてすることができない
＃ゾーンの名前として使用されます。
＃
＃どこにゾーンを1つまたは複数の他のゾーン、ネストされて
＃あなた）のゾーン名は"（サブ以下があります："と
＃カンマで、親のゾーンで区切られたリスト。 親
＃ゾーンの以前のレコードで定義されている必要があります
ファイル＃。
＃
＃例：
＃
＃＃ZONE型オプション
＃IPv4の
＃BのIPv4の
＃C：の、BのIPv4の
＃
＃現在のshorewallのみを並べ替えるには、この情報を使用し
＃ゾーンのリストのように、親ゾーンのサブゾーンの後に表示される
＃リスト。 将来的には、shorewallのより広範な使用をすることが
＃は、情報の。
＃
＃タイプは、IPv4 -これは、標準のshorewallゾーンの種類をされて
＃デフォルトの場合、またはこの列は空のままと入力した場合
＃" - "列で。 通信いくつかのゾーンをホストすると
＃暗号化される5。 暗号化されたホストを使用して指定されて
＃'ipsec'optionは/ etc / shorewallの内/ hostsファイル。
＃IPsecの-通信のすべてのゾーンをホストして暗号化され
＃あなたのカーネルとiptablesのポリシーを含める必要があります
一致する＃をサポートします。
＃ファイアウォール
＃ -を指定自体のファイアウォール。 いる必要があります
＃ちょうど1つのファイアウォール'ゾーン。 オプションはありません
＃'ファイア'ゾーンで許可される。 名前を入力
# enter in the ZONE column will be stored in the shell
＃変数$デジタル一、他の構成では、使用することが
# files to designate the firewall zone.
＃
＃オプションカンマなどのオプションで区切られたリストを次のとおり：
＃Options]で、
＃オプション= reqid切れ<番号> <number>は指定されて
＃てsetkey（8）を使用して独自の使用：<番号>
SPDのレベルの＃オプション。
＃
＃ライセンス条項をご覧= <数値> <数値>ここでは、SPIの一つです
＃SAの暗号化/復号化パケットを使用します。
＃
＃プロト=ああ| ESPの|は、IPComp
＃
mssの＃= <番号>（TCPパケット）は、MSSのフィールドを設定します
＃
＃モード=交通|トンネル
＃
＃トンネル- srcの= <アドレス> [/で<mask>]（のみ
＃モード=トンネルで利用できます）
＃
＃トンネル夏時間= <アドレス> [/で<mask>]（のみ
＃モード=トンネルで利用できます）
＃
＃厳密な手段は、パケットのすべてのルールに一致する必要があります。
＃
＃次の区切りのルールのみを使用することができます
＃厳密な..
＃
＃例：
＃モード=輸送= 44 reqid
＃
＃オプションの列のオプションは両方の着信に適用されます
＃また、発信トラフィック。 オプションで、着信に適用されます
＃トラフィックは、アウトオプションのオプションに加えて（）としている
＃応用への発信トラフィック。
＃
ご希望の場合は、列を残して＃空がエントリを作成する必要があります
＃次の列では、使用する" - "。
＃
＃エントリは以下のファイルの順番場合、または入れ子ことが重要です
＃重複ゾーンの/ etc / shorewallので定義/ hostsファイル。
＃
＃http://www.shorewall.net/Documentation.htm入れ子になった参照してください＃
################################################## #############################
IN OUTに＃ZONE型オプション
＃オプションオプション
デジタル一ファイアウォール
ネットは、IPv4
＃最終行に-を追加してエントリを、上記のこの1つ-しないと削除

4）ルールファイルの設定。

＃Geditには/ etc /のshorewall / rulesの

中には、このコピー：

＃shorewallのバージョン3.0 -サンプルルールファイルを1つのインターフェイスの構成です。
＃
＃/その他/のshorewall / rulesの
＃
このファイル内の＃ルールの接続の確立を支配する。 要求と
＃レスポンスを自動的に接続をトラッキングの使用を許可されています。 任意の
＃特定の（ソース、ゾーンのdestが）のペアは、ルールで評価される
＃どの順序では、このファイルに表示され、最初に一致するものである
＃これは、リクエストの処分を決定します。
＃
＃ほとんどの場所では、IPアドレスまたはサブネットを許可される場合
＃アドレスの前か/サブネット"と！" （例えば、！192.168.1.0/24）へ
ルールは、アドレス以外の/サブネットのすべてのアドレスに一致する＃ことを示します
＃考える。 通知がない空白"の間で許可されて！" と
＃アドレス/サブネット。
#--------------------------
＃警告：もし、仮装、またはローカルシステムからインターネットへSNATを使用する
＃あなたはインターネットからのトラフィックを許可するように同意するルールを使用することはできません
＃これはシステムです。 あなた*の代わりにDNATのルールを使用する*必要があります。
#--------------------------
＃
＃ルールファイルのセクションに分かれています。 各セクションで導入されて
＃項"ヘッダー"のセクションが続く行の始まりです
＃セクション名です。
＃
ているとして、次の順序で表示される必要があります＃セクション：
＃
＃ESTABLISHED状態で処理されるパケットを設立
このセクションで＃でのルール。
＃
＃アクションのみこのセクションで許可されている
＃はACCEPT、DROP、REJECTは、ログやキュー
＃
＃が暗黙の同意のルールが挿入されます
＃このセクションの終わりに。
＃
関連する状態に関連＃パケットによって処理される
このセクションで＃ルール。
＃
＃アクションのみこのセクションで許可されている
＃はACCEPT、DROP、REJECTは、ログやキュー
＃
＃が暗黙の同意のルールが挿入されます
＃このセクションの終わりに。
＃
NEWとINVALIDの状態とは＃で新しいパケット
＃このセクション内のルールによって処理されました。
＃
＃警告：もしshorewall.confにして、FASTACCEPT = Yesを指定
＃、および関連するセクションを空にする必要がESTABLISHED。
＃
＃注意：もし、Netfilterのがどこにいるかのポイントに精通していない
＃快適な、さまざまな接続の違いを
＃トラッキングの状態、そして私は、あなたがESTABLISHEDを省略することをお勧め
＃関連のセクション、すべての新しいセクションであなたのルールの場所です。
＃
＃あなたはその必要はありません任意のセクションを省略することがあります。 If no Section Headers appear
で、そのファイルを＃全てのルールは、新しいセクションにあると想定されます。
＃
＃コラムです：
＃
＃アクションはACCEPT、DROP、REJECTは、DNATを、DNATを、リダイレクトすると、続けると、
＃ログ、QUEUEまたは<action>が。
＃
＃同意する-の接続要求を許可
＃同意+ -同意するようにも除外
後続からの接続
＃DNATの[ - ]またはリダイレクト[ - ]ルール
＃NONAT -除外いずれからの接続を
＃以降のDNATの[ - ]またはリダイレクト[ - ]
＃ルールがルールが生成されない
# to accept the traffic.
＃ドロップ-要求を無視する
＃REJECTは-の要求を拒否し、返す
＃ICMPベースに到達できない、またはRSTパケット。
＃DNATの-転送を別のリクエスト
＃システム（およびオプションで、別の
＃ポート）。
＃DNATの-高度なユーザーのみ。
＃DNATのようにしか生成
＃DNATのiptablesの規則ではなく、
＃コンパニオン同意するルール。
＃ソーシャルブックマーク-以外のDNATのに似ていること
＃ポートの再マッピングすることができない時
＃複数サーバのアドレスです
＃上場から、すべての要求が与えられた
＃リモートシステムと同じに行く
＃サーバ。
＃ソーシャルブックマーク-上級ユーザのみ。
＃同じようにしか生成
＃NATのiptablesの規則ではなく、
＃コンパニオン同意するルール。
＃リダイレクト-リダイレクト先の要求は、ローカル
＃ポートは、ファイアウォール上で。
＃リダイレクト-
＃ -上級ユーザのみ。
＃REDIRETと同様にしか生成
＃リダイレクトのiptablesの規則ではなく、
＃コンパニオン同意するルール。
＃
＃続けます-専門家（のみ）。 処理しない
＃任意のこのため、次のルール
＃（ソースゾーン、宛先ゾーン）。 もし
＃ソースおよび/または宛先IP
＃アドレスのゾーン定義に該当する
＃後で/ etcに/のshorewall /ゾーンは、この
＃接続要求が渡される
＃ルールを定義するには
＃（これらの）ゾーン（秒）。
＃ログ-単にパケットのログを続行します。
＃ブリー-キューユーザーには、パケットスペース
＃ftwallアプリケーションなど
＃（はhttp：/ / p2pwall.sf.net）。
アクションで定義された＃<action>が-名
＃は/ etc / shorewallの/アクションまたは
＃/ Usr /共有/のshorewall / actions.std。
マクロで定義された＃<マクロ> -名
＃ファイルの名前のマクロです。<macro-name>。 もし
＃マクロのアクションを受け付ける
＃パラメータ（マクロを見てください
場合、それにPARAMている＃ソースしてください。
＃TARGETの列）し、マクロ
＃Name"で続いて/"と
＃アクション（はACCEPT、DROP、REJECTは、...）
＃の代わりにするには
＃パラメータ。 例：FTPの/同意する。
＃
＃アクションオプションに続く可能性があります
＃"で："、およびsyslogのログレベル（REJECTは例：infoまたは
＃DNATの：デバッグできる）。 参加するにはパケットが
＃指定されたレベルで記録されます。
＃
＃場合は、アクションの名前のアクションで定義され
＃は/ etc / shorewallの/アクションまたは
＃/ Usr /共有/ shorewallの/次にactions.std：
＃
＃ -場合は、ログのレベル"に続いて！ 次に、すべてのルール
＃このアクションでは、ログレベルで記録されます。
＃
＃ -の場合は、ログレベル"に続いていない！" してのみ
＃は指定しないと、アクションでこれらのルール
＃ログは、指定されたレベルでログに記録されます。
＃
＃ -特殊なログレベルではない！ を抑制するロギング
＃このアクションでは。
＃
＃また、ULOGを指定することがあります（大文字で）とする必要があります
＃ログにルーティングするためのターゲットのULOG level.Thisログウィル
＃を使用して別のログに記録するulogdの
＃（はhttp：/ / www.gnumonks.org /プロジェクト/ ulogdの）。
＃
＃アクションのロギングの指定が続く可能性があります
# log tag (a string of alphanumeric characters)
＃文字列によって生成されたに追加されます
＃LOGPREFIXは/ etc / shorewallの/ shorewall.conf）（インチ
＃
＃例：同意：情報：ftpのが、'ftpが含まれる'
＃ログファイルの終わりによって生成された接頭辞
＃LOGPREFIX設定します。
＃
ルールを適用する＃のソースソースをホストします。 5ゾーンである
＃は/ etc / shorewallの/ゾーンでは、設定するデジタル一$定義
＃ファイアウォール自体は、"すべて"、"すべての+"または"none"には、ACTIONの場合
＃指定された領域のDNATの、またはリダイレクトすると、サブゾーンです
＃ルールからゾーン以下で除外される5月
"と＃ネーム！ サブとコンマで区切られたリストゾーン
＃品名。
＃
＃場合は"none"のいずれかのSOURCEまたはdestに使用されて
＃コラム、ルールは無視されます。
＃
＃ときに"すべて"のいずれかのSOURCEまたはdestに列が使用されます
＃イントラゾーンのトラフィックの影響を受けません。 ときに"すべての+"です
＃使用すると、内のゾーンのトラフィックの影響を受けています。
＃
＃ときに、"すべての[+]"指定された場合を除き、クライアントになる可能性があります
＃さらにサブネットおよび/またはホストのリストによって制限さ
＃の追加"："とカンマのサブネットで区切られたリスト
＃そして/またはホスト。 ホストのIPアドレスまたはMACによって指定されることがあります
＃アドレス、MACアドレス"で始まる必要があります〜"を使用する必要があります
セパレータ＃" - "として。
＃
＃ホストのIPアドレスの範囲として使用して指定される可能性があります
＃構文の<低アドレス- <highアドレス。 これは必要なこと
＃あなたのカーネルとiptables iprange一致のサポートが含まれます。
＃もし、カーネルとiptables IPSETサポートして一致するものが
＃次に、"IPSETの接頭辞の名前を与える可能性があります+"。
IPSET＃名前を任意の数字が続く可能性があります
＃1六角かっこ（[]）を同封するから
＃示しますソースのバインディングのレベルの数になる
＃マッチング。
＃
＃非武装地帯：DMZ内の192.168.2.2のホスト192.168.2.2
＃
＃ネット：上155.186.235.0/24サブネット155.186.235.0/24
＃インターネット
＃
＃スリナガル：192.168.1.1,192.168.1.2
＃ホスト192.168.1.1と
＃192.168.1.2ローカルエリアです。
＃スリナガル：〜00 - A0 - C9の- 15 - 39 -ローカルエリアでの78のホスト
# MAC address 00:A0:C9:15:39:78.
＃
＃ネット:192.0.2.11 - 192 .0.2.17
192.0.2.11-192.0.2.17＃でホスト
＃ネットゾーン。
＃
＃また、クライアントのインターフェイスによって指定される可能性があります
＃で追加"："ゾーン名の後に
＃インターフェイスの名前。 例では、カシミール：eth1の指定について
＃クライアントは、ファイアウォールのシステムとの通信
＃eth1のスルー。 このオプションに続く可能性があります
＃もう1つのコロン(":")とは、IP / MACの/サブネットのアドレス
＃として、上記（カシミール例：eth1の：192.168.1.5）。
＃
destに＃ロケーションServerの。 5月に、ゾーン内で定義されて
ファイアウォールを設定する＃/その他/のshorewall /ゾーン、$デジタル一
＃自体は、"すべての"。 "すべての+"または"none"です。
＃
＃場合は"none"のいずれかのSOURCEまたはdestに使用されて
＃コラム、ルールは無視されます。
＃
＃ときに"すべて"のいずれかのSOURCEまたはdestに列が使用されます
＃イントラゾーンのトラフィックの影響を受けません。 ときに"すべての+"です
＃使用すると、内のゾーンのトラフィックの影響を受けています。
＃
＃ときに、"すべての[+]"指定された場合を除き、サーバーの可能性があります
＃また、特定のサブネット、ホスト、または制限
＃インターフェイス"を付加："とは、サブネット、ホスト、または
＃インターフェイス。 上記を参照。
＃
＃制限事項：
＃
＃1。 MACアドレスは許可されていません。
＃2。 DNATのルールでは、唯一のIPアドレスです
＃ペット;のFQDNは、またはサブネットアドレス
＃許可されます。
＃3。 両方のインターフェイスを指定しないことがあります
＃アドレスです。
＃
＃ソースの列と同様に、あなたの範囲を指定することがあります
＃最大256個のIPアドレスの構文を使用して
＃<first Ip> - <最終ip>。 ときは、ACTION DNATのかDNATのは、
＃接続のアドレスに代入されます
＃範囲は、ラウンドロビン方式です。
＃
＃もし、カーネルとiptables IPSETサポートして一致するものが
＃次に、"IPSETの接頭辞の名前を与える可能性があります+"。
IPSET＃名前を任意の数字が続く可能性があります
＃1六角かっこ（[]）を同封するから
＃示します先のレベルの数のバインディング
＃マッチする。 1つだけsourceとdestの列
＃IPSET名を指定する5。
＃
＃ポートは、サーバー上にある可能性がありますがリスニングして
＃含まれると、サーバーのIPアドレスからで区切られた
＃"："。 省略した場合は、ファイアウォールの変更がされません
＃宛先ポート。 宛先ポートが唯一のこと
場合は、ACTION DNATのかリダイレクトされます＃含まれる。
＃
＃例：カシミール：192.168.1.3:3128を指定する地域
＃サーバーのIPで192.168.1.3のアドレスとポートをリッスン
＃3128。 ポート番号はならないの整数として指定される
＃また、/ etcから名/サービスではないとして。
＃
＃の場合は、ACTIONのリダイレクトは、この列にのみ必要があります
＃は、ファイアウォール上のポート番号が含まれていること
＃リクエストにリダイレクトされる必要があります。
＃
# PROTO Protocol – Must be "tcp", "udp", "icmp", "ipp2p",
# "ipp2p:udp", "ipp2p:all" a number, or "all".
# "ipp2p*" requires ipp2p match support in your kernel
# and iptables.
＃
# DEST PORT(S) Destination Ports. A comma-separated list of Port
# names (from /etc/services), port numbers or port
# ranges; if the protocol is "icmp", this column is
# interpreted as the destination icmp-type(s).
＃
# If the protocol is ipp2p, this column is interpreted
# as an ipp2p option without the leading "–" (example
# "bit" for bit-torrent). If no port is given, "ipp2p" is
# assumed.
＃
# A port range is expressed as <low port>:<high port>.
＃
# This column is ignored if PROTOCOL = all but must be
# entered if any of the following ields are supplied.
# In that case, it is suggested that this field contain
# "-"
＃
# If your kernel contains multi-port match support, then
# only a single Netfilter rule will be generated if in
# this list and the CLIENT PORT(S) list below:
# 1. There are 15 or less ports listed.
# 2. No port ranges are included.
# Otherwise, a separate rule will be generated for each
# port.
＃
# CLIENT PORT(S) (Optional) Port(s) used by the client. If omitted,
# any source port is acceptable. Specified as a comma-
# separated list of port names, port numbers or port
# ranges.
＃
# If you don't want to restrict client ports but need to
# specify an ORIGINAL DEST in the next column, then
# place "-" in this column.
＃
# If your kernel contains multi-port match support, then
# only a single Netfilter rule will be generated if in
# this list and the DEST PORT(S) list above:
# 1. There are 15 or less ports listed.
# 2. No port ranges are included.
# Otherwise, a separate rule will be generated for each
# port.
＃
# ORIGINAL DEST (0ptional) — If ACTION is DNAT[-] or REDIRECT[-]
# then if included and different from the IP
# address given in the SERVER column, this is an address
# on some interface on the firewall and connections to
# that address will be forwarded to the IP and port
# specified in the DEST column.
＃
# A comma-separated list of addresses may also be used.
# This is usually most useful with the REDIRECT target
# where you want to redirect traffic destined for
# particular set of hosts.
＃
# Finally, if the list of addresses begins with "!" それから
# the rule will be followed only if the original
# destination address in the connection request does not
# match any of the addresses listed.
＃
# For other actions, this column may be included and may
# contain one or more addresses (host or network)
# separated by commas. Address ranges are not allowed.
# When this column is supplied, rules are generated
# that require that the original destination address
# matches one of the listed addresses. This feature is
# most useful when you want to generate a filter rule
# that corresponds to a DNAT- or REDIRECT- rule. In this
# usage, the list of addresses should not begin with "!".
＃
# See http://shorewall.net/PortKnocking.html for an
# example of using an entry in this column with a
# user-defined action rule.
＃
# RATE LIMIT You may rate-limit the rule by placing a value in
# this colume:
＃
# <rate>/<interval>[:<burst>]
＃
# where <rate> is the number of connections per
# <interval> ("sec" or "min") and <burst> is the
# largest burst permitted. If no <burst> is given,
# a value of 5 is assumed. There may be no
# no whitespace embedded in the specification.
＃
# Example: 10/sec:20
＃
# USER/GROUP This column may only be non-empty if the SOURCE is
# the firewall itself.
＃
# The column may contain:
＃
# [!][<user name or number>][:<group name or number>][+<program name>]
＃
# When this column is non-empty, the rule applies only
# if the program generating the output is running under
# the effective <user> and/or <group> specified (or is
# NOT running under that id if "!" is given).
＃
# Examples:
＃
# joe #program must be run by joe
# :kids #program must be run by a member of
# #the 'kids' group
# !:kids #program must not be run by a member
# #of the 'kids' group
# +upnpd #program named upnpd (This feature was
# #removed from Netfilter in kernel
# #version 2.6.14).
＃
# Example: Accept SMTP requests from the DMZ to the internet
＃
# #ACTION SOURCE DEST PROTO DEST SOURCE ORIGINAL
# # PORT PORT(S) DEST
# ACCEPT dmz net tcp smtp
＃
# Example: Forward all ssh and http connection requests from the
# internet to local system 192.168.1.3
＃
# #ACTION SOURCE DEST PROTO DEST SOURCE ORIGINAL
# # PORT PORT(S) DEST
# DNAT net loc:192.168.1.3 tcp ssh,http
＃
# Example: Forward all http connection requests from the internet
# to local system 192.168.1.3 with a limit of 3 per second and
# a maximum burst of 10
＃
# #ACTION SOURCE DEST PROTO DEST SOURCE ORIGINAL RATE
# # PORT PORT(S) DEST LIMIT
# DNAT net loc:192.168.1.3 tcp http – – 3/sec:10
＃
# Example: Redirect all locally-originating www connection requests to
# port 3128 on the firewall (Squid running on the firewall
# system) except when the destination address is 192.168.2.2
＃
# #ACTION SOURCE DEST PROTO DEST SOURCE ORIGINAL
# # PORT PORT(S) DEST
# REDIRECT loc 3128 tcp www – !192.168.2.2
＃
# Example: All http requests from the internet to address
# 130.252.100.69 are to be forwarded to 192.168.1.3
＃
# #ACTION SOURCE DEST PROTO DEST SOURCE ORIGINAL
# # PORT PORT(S) DEST
# DNAT net loc:192.168.1.3 tcp 80 – 130.252.100.69
＃
# Example: You want to accept SSH connections to your firewall only
# from internet IP addresses 130.252.100.69 and 130.252.100.70
＃
# #ACTION SOURCE DEST PROTO DEST SOURCE ORIGINAL
# # PORT PORT(S) DEST
# ACCEPT net:130.252.100.69,130.252.100.70 $FW \
# tcp 22
################################################################
#ACTION SOURCE DEST PROTO DEST SOURCE ORIGINAL RATE USER/
# PORT PORT(S) DEST LIMIT GROUP

# Reject Ping from the "bad" net zone.. and prevent your log from being flooded..

Ping/REJECT net $FW

# Permit all ICMP traffic FROM the firewall TO the net zone

ACCEPT $FW net icmp

#LAST LINE — ADD YOUR ENTRIES BEFORE THIS ONE — DO NOT REMOVE

In questo file vengono settate le regole di accesso, quindi è qui che a secondo delle esigenze di ognuno di noi vanno aperte le porte per i programmi che noi utilizziamo.  Facendo degli esempi con Amule, Deluge, Ftp, prima dell'ultima riga:

#LAST LINE — ADD YOUR ENTRIES BEFORE THIS ONE — DO NOT REMOVE

vanno inserite le regole:

# aMule
ACCEPT        net        $FW        tcp         4662
ACCEPT        $FW        net        tcp         4662
ACCEPT        net        $FW        udp        4672
ACCEPT        $FW        net        udp        4672
ACCEPT        net        $FW        udp        4665
ACCEPT        $FW        net        udp        4665

# Ftp modo passivo
ACCEPT          net             $FW             tcp             21
ACCEPT          $FW             net             tcp             21
ACCEPT          net             $FW             tcp             50000:50100
ACCEPT          $FW             net             tcp             50000:50100

#deluge
ACCEPT        net        $FW         tcp        6881:6889
ACCEPT        $FW        net         tcp        6881:6889

5) Per attivare shorewall all'avvio:

# gedit /etc/default/shorewall

e rimpiazzare "startup=0" con "startup=1"

6) Lanciare shorewall:

# shorewall start

7) Dopo aver fatto qualche modifica:

# shorewall restart

Per moltissime altre info, soprattutto più esaurienti e complete direttamente qua .

ポスト似たような（またはほとんど）：

1. Script per Gmail Per scaricare la posta da Gmail io...
2. Cryptare file Ognuno di noi, chi più chi meno, è geloso di...
3. mcryptは、 これをすばやく暗号化するには少しトリックが ファイルを暗号化 ...

Articolo scritto il lunedì, dicembre 8th, 2008 alle 18:08 e archiviato in Applicazioni , Debian , Gnu-Linux , Rete , Sicurezza , Utility . あなたに登録この記事への応答に続くことは 、 フィードのRSS 2.0。 あなたのコメント、またはトラックバックする個人用サイトからを書くことができます。