的shorewall （海岸防火墙）是一个防火墙Netfilter的倾斜到系统（iptables的/ ipchains的）Linux内核的配置，网络更易于管理的先进。 在您开始安装的shorewall，您必须先卸载任何其他防火墙。 例如：firestarter：

# apt-get remove --purge firestarter

# apt-get install shorewall shorewall-common shorewall-shell shorewall-doc dash

1) Partiamo con la configurazione del file interfaces:

# gedit中的/ etc /的shorewall /接口

我们复制这：

＃版本3.0的shorewall - 样品接口文件为一个接口配置。
＃
＃的/ etc /的shorewall /接口
＃
＃你必须添加在这点，因为每个网络接口文件项your
＃防火墙系统。
＃
＃列如下：
＃
＃区带这个接口。 必须匹配一个名字
＃区定义在/ etc /的shorewall /区。 你可能不
＃名单在本专栏的防火墙区域。
＃
＃如果接口有多方面的区域，将成为
＃定义在/ etc /的shorewall / hosts文件，你应该
＃地方“ - ”在此列。
＃
＃如果有同一地区多个接口，
＃在他们，你必须列出单独的条目：
＃
＃示例：
＃
＃禄eth1使用 -
＃禄eth2 -
＃
＃接口名称接口。 只有每个接口，可以上市
在这个文件＃盎司。 您可能没有指定名称
＃别名（例如，为eth0：0）这里，见
＃＃网址：Http：/ / www.shorewall.net / FAQ.htm faq18
＃
＃在这里您可以指定通配符。 例如，如果你
＃想要做一个项目，适用于所有的PPP
＃接口，使用'购买力平价+'。
＃
＃没有需要界定回环接口（罗）
＃在这个文件中。
＃
＃播出，到该子网广播地址
＃属于接口。 PTP的接口，这
＃列是左blank.If接口有多个
＃多子网广播地址，然后列出
作为一个逗号分隔的列表＃地址。
＃
＃如果您使用特殊值“检测”防火墙
＃将检测你的广播地址。 如果你
＃选择此选项，接口必须之前
＃防火墙已启动，您必须的iproute
＃安装。
＃
＃如果你不希望给一本专栏，但值
＃你想输入一个选项栏，输入值
＃“ - ”在此列。
＃
＃选项的选择，包括逗号分隔的列表
＃以下：
＃
＃的DHCP - 指定此选项时，任何
＃以下是正确的：
＃1。 智能获取接口的IP地址
＃通过DHCP
＃2。 该接口使用
＃一个DHCP服务器上运行的防火墙
＃3。 你有一个静态的IP，但都是在一个局域网
＃段与大量的DHCP笔记本电脑
＃客户。
＃4。 接口是桥
＃关于一个端口的DHCP服务器和DHCP
在另一港口＃客户。
＃
＃Norfc1918 - 这个接口应该不会收到
＃任何数据包的源，是在一
＃已被RFC 1918保留的范围
＃（也就是说，私营或“不可路由”
＃地址。 如果数据包压延或
＃连接的比赛中启用跟踪
＃你的内核，数据包的目的地
＃地址是保留由RFC一千九百一十八顷
＃也被驳回。
＃
＃Routefilter - 关于内核这个过滤路线转
＃接口（反诈骗措施）。 这
此外＃选项可以在全球启用
＃的/ etc /的shorewall / shorewall.conf文件。
＃
＃Logmartians - 火星内核日志（日志记录转
＃在与不可能的源包
＃地址。 有人建议，如果你
＃设置一个接口上routefilter这
＃您也logmartians 9月。 此选项
＃5月又在全球范围内启用
＃的/ etc /的shorewall / shorewall.conf文件。
＃
＃黑名单 - 检查该接口上的数据包到达
对＃/等/的shorewall /黑名单
＃文件。
＃
＃Maclist - 从这个接口连接请求
＃比较反对的内容
＃的/ etc /的shorewall / maclist。 如果此选项
＃指定，接口必须
＃一个以太网网卡，必须之前
＃shorewall的启动。
＃
＃Tcpflags - 该接口上的数据包到达的
＃检查某些非法组合
＃TCP的标志。 包被发现
＃这样的标志的组合处理
＃根据设置
＃TCP_FLAGS_DISPOSITION之后，已
＃记录根据设置
＃TCP_FLAGS_LOG_LEVEL。
＃
＃Proxyarp -
＃集
＃/ Proc/sys/net/ipv4/conf / <interface> / proxy_arp。
＃不要使用此选项如果你是
＃透过雇用代理的ARP条目
＃的/ etc /的shorewall / proxyarp。 此选项
＃仅供使用ARP协议与代理
＃小组网络作为描述了：
＃网址：Http：/ / www.tldp.org / howto中/小/代理的ARP协议，子网
＃
＃Routeback - 如果指定的shorewall指示
＃如果这包括规则允许
＃到达此过滤流量
＃接口退出这相同的接口。
＃
＃Arp_filter - 如果指定，该接口将只
＃响应ARP协议是谁已经为IP请求
＃地址配置的接口上。
＃如果没有指定，该接口可以
＃响应ARP协议是谁的请求
＃在任何IP地址的防火墙的
＃接口。 该接口必须由
＃当shorewall的启动。
＃
Arp_ignore＃[= <数值]
＃ - 如果指定，该接口将
＃响应ARP协议的基础上提出的要求
＃价值<数值。
＃
＃1 - 答复只有当目标IP地址
＃本地地址的配置
＃传入接口
＃
＃2 - 答覆只有当目标IP地址
＃本地地址的配置
＃传入和接口与
＃发件人的IP地址是从同一个地方
该接口上＃子网
＃
＃3 - 不要答覆本地地址
＃配置主机与范围只
＃决议对全球和链接
＃地址是回答
＃
＃4-7 - 保留
＃
＃8 - 不为所有本地答复
＃地址
＃
＃如果没有<数值鉴于此值
＃1是假设
＃
＃警告 - 不要指定arp_ignore
涉及的任何＃中的接口代理ARP。
＃
＃Nosmurfs - 包过滤的蓝精灵
＃（包的广播
＃地址）作为源。
＃
＃蓝精灵将被记录为基础选择
＃2004年第06 SMURF_LOG_LEVEL设置
＃Shorewall.conf。 登录后，在
＃包被丢弃。
＃
＃Detectnets - 自动泰勒的地区命名
＃在区域只包含这些列
＃主机路由通过接口。
＃
＃UPnP的 - 从这个接口传入的请求
＃可以通过通用即插即用（重新映射upnpd）。
＃
＃警告：不要设置detectnets对您的选择
＃互联网接口。
＃
＃在该命令中所列的选项是不
＃可观，但该名单应该是没有嵌入白色
＃空间。
＃
＃示例1：假设您已连接到DSL调制解调器和eth0的
＃eth1使用连接到本地网络和你的那
＃本地子网是192.168.1.0/24。 该接口获取
＃它的IP地址通过DHCP从子网
＃206.191.149.192/27。 你有一个DMZ子网
＃192.168.2.0/24使用eth2。
＃
＃您在此设置项会是什么样子：
＃
净额为eth0的DHCP＃206191149223
＃本地eth1使用192.168.1.255
＃非军事区eth2 192.168.2.255
＃
例子＃2：不指定广播相同配置
＃地址是：
＃
＃eth0的检测网络的DHCP
＃禄eth1使用检测
＃非军事区eth2检测
＃
例子＃3：你有一个简单的拨号系统，没有以太网
＃连接。
＃
＃净额为ppp0 -
＃
＃有关其他信息，请参阅
＃＃接口http://shorewall.net/Documentation.htm
＃
################################################## #############################
＃带接口的广播股权
净eth0的检测routefilter，的DHCP，tcpflags，logmartians，nosmurfs
＃最后一行 - 地址在此之前的ONE您的条目 - 请勿移除

注：如果不是调制解调器路由器与我们改变为ppp0 eth0的。 在任何情况下，尝试以适应我们的需要和配置。

2）配置的策略文件：

＃gedit中的/ etc /的shorewall /政策

我们复制这：

＃版本3.0的shorewall - 样品政策文件为一个接口配置。
＃
＃的/ etc /的shorewall /政策
＃
＃中的条目在这个文件的顺序非常重要
＃
＃这个文件确定如何处理一个新的连接请求，如果我们
＃不要一从/ etc匹配/的shorewall / rules文件。 对于每一个
＃源/目的地对，文件处理，秩序，直到1
＃找到匹配项（“所有”将匹配任何客户端或服务器）。
＃
＃腔内港区政策是预定义
＃
对于防火墙＃$和供划在/ etc /的shorewall /定义的所有区域，
＃从地区的政策连接到建筑物本身是接受（无
＃日志记录或TCP连接速率限制，但可重写一
＃这个文件中的条目。 压倒一切的条目必须是明确的（不能使用
＃“全部”在源代码或dest）。
＃
＃列如下：
＃
＃源源区。 必须是某个特定地区的名称
＃的/ etc /的shorewall /区，$防火墙或“所有”。
＃
＃<目的地目的地区。 必须是某个特定地区的名称
＃的/ etc /的shorewall /区，$防火墙或“所有”
＃
＃政策的政策，如果没有匹配的规则找到文件。 必须
＃是“接受”，“降”，“拒绝”，“继续”或“无。
＃
＃接受 - 接受连接
＃降 - 忽略的连接请求
＃拒绝 - 对于TCP，发送RST。 对于所有其他，
＃发送“端口不可达”的ICMP。
＃队列 - 发送请求到用户空间
＃应用程序使用队列目标。
＃继续 - 帕斯过去的连接请求
＃任何其他规则，也可能
＃匹配（如源或
＃目的地地区的规则是
＃阿源或超<目的地>
在这份施政＃）。
＃无 - 把那绝不会有任何
从这个数据包源＃
＃为此dest中。 将不设置的shorewall
＃任何基础设施以处理这些
＃数据包，您可能没有任何
这个来源与目的＃规则
＃的/ etc /的shorewall / rules文件。 如果
＃这样一包_is_欢迎，
＃结果是不确定的。 无可能不
＃使用如果源或<目的地列
＃包含防火墙区（$防火墙）或
＃“全部”。
＃
＃如果该列包含接受，DROP或REJECT和一
＃通讯共同行动的定义
＃的/ etc /的shorewall /行动（或
＃/ USR的/共享/的shorewall / actions.std）这一行动，然后
＃调用之前，政策将在这列名为
＃得到实施。
＃
＃日志级别，如果提供的，每个连接在默认处理
＃政策是记录在这一水平。 如果不提供，不
＃日志消息生成。 见syslog.conf的（5）1
＃日志级别的描述。
＃
＃开始的版本1.3.12的shorewall，您可能
＃指定乌洛格同时（必须大写）。 这将
＃登录到目标乌洛格和发送到一个单独的日志
通过使用ulogd＃
＃（网址：Http：/ / www.gnumonks.org /项目/ ulogd）。
＃
＃如果你不希望登录，但需要指定the
下面的＃栏，放置“ - ”在这里。
＃
＃限制：爆如果获得通过，指定的最大TCP连接速率
＃和可接受的脉冲大小。 如果没有指定，
＃TCP连接数不限。
＃
＃＃查看更多信息http://shorewall.net/Documentation.htm政策。
＃
################################################## #############################
＃源<目的地政策日志级别限制：爆
$防火墙净接受
净跌信息
＃以下政策必须要在后
所有拒绝信息
＃最后一行 - 地址这条线以上您的条目 - 请勿移除

3）创建的配置区的文件：

＃gedit中的/ etc /的shorewall /区

我们复制这：

＃shorewall的版本3.0 - 示例区文件1接口配置。
＃
＃的/ etc /的shorewall /区
＃
＃这个文件确定您的网络区域。
＃
＃列如下：
＃
＃带短的名称区（5个字符或更少的长度）。
＃名称“所有”和“无”是保留，不得
＃地区使用的姓名。
＃
＃凡区域是在一个或多个嵌套的其他区域，
＃愿你走（分）按名称领域：“并
＃父区逗号分隔的列表。 父
定义＃区必须早已在此记录
＃文件。
＃
＃示例：
＃
＃＃区类型选项
＃IPv4的
＃乙的IPv4
为＃C：甲，乙的IPv4
＃
＃目前，仅使用此信息的shorewall的重新排序
＃列出地方我知道，当为多个分区其母公司zones Appear
＃清单。 在未来，使更广泛的shorewall 5月使用
这方面的资料＃。
＃
键入＃IPv4的 - 这是标准型，是区内的shorewall
＃默认如果你离开此列空或者如果您输入
＃“ - ”在列。 有些地区与主机的通信
＃5月被加密。 指定使用加密的主机
＃的'ipsec'option在/ etc /的shorewall /主机。
＃IPsec的 - 与所有主机通信是加密区
＃你的内核和iptables必须包括政策
赛事＃支持。
＃防火墙
＃ - 指定防火墙本身。 你必须有
＃整整一'防火墙'地带。 没有选项
＃允许以'防火墙'地带。 你的名称
＃请在区列将存储在shell
＃变量$防火墙，你可以使用其他配置
＃文件到指定地区的防火墙。
＃
＃选项A的AS如下选择逗号分隔的列表：
＃在选项
输出＃选项= reqid <数值> <编号>指定的WHERE
＃使用setkey（8）使用独特的：<数>
＃为社民党级别选项。
＃
＃灵宝= <数值> <编号>哪里的SPI
＃的SA用于加密/解密数据包。
＃
＃原=啊|进出口|的IPCOMP
＃
MSS的＃= <数字>（设置字段的TCP MSS的数据包）
＃
＃模式=运输|隧道
＃
＃隧道式钢骨混凝土= <地址> [/ <mask>]（只
＃与模式可供=隧道）
＃
＃隧道的DST = <地址> [/ <mask>]（只
＃与模式可供=隧道）
＃
＃严格的入息数据包必须匹配的所有规则。
＃
＃下分隔规则;只能用于
＃严格..
＃
＃示例：
＃模式=运输，reqid = 44
＃
＃在OPTIONS的选项栏上的应用传入
＃和传出的流量。 在选项上的应用传入
＃交通（除股权）和输出选项是
＃应用到输出的流量。
＃
＃如果你想离开一列空，但需要作一个条目
＃继一列，使用“ - ”。
＃
＃在这份文件中的条目顺序是很重要如果您已经嵌套或
＃重叠带的确定，通过的/ etc /的shorewall /主机。
＃
＃＃见http://www.shorewall.net/Documentation.htm嵌套
################################################## #############################
＃带入境出境类型选项
＃选项选项
防火墙防火墙
网的IPv4
＃最后一行 - 地址高于此的ONE您的条目 - 请勿移除

4）配置文件的规则。

＃gedit中的/ etc /的shorewall /规则

我们复制这：

阅读»其余这个词条