https://wiki.svsbb.sk/index.php?action=history&feed=atom&title=Shorewall 2026-05-01T09:05:58Z História úprav pre túto stránku na wiki MediaWiki 1.33.1 https://wiki.svsbb.sk/index.php?title=Shorewall&diff=571&oldid=prev 2011-09-26T14:49:54Z

<p>Vytvorená stránka „Shorewall je sada skriptov ktoré na základe zrozumiteľných konfiguračných súborov nakonfigurujú vstavaný <a href="/index.php/Linux" class="mw-redirect" title="Linux">linuxový</a> <a href="/index.php/Firewall" title="Firewall">firewall</a> tzv. <a href="/index.php?title=Netfilter&amp;action=edit&amp;redlink=1" class="new" title="Netfilter (stránka neexistuje)">netfilter</a>. ===Definov...“</p> <p><b>Nová stránka</b></p><div>Shorewall je sada skriptov ktoré na základe zrozumiteľných konfiguračných súborov nakonfigurujú vstavaný [[linux]]ový [[firewall]] tzv. [[netfilter]].<br /> <br /> ===Definovanie zón===<br /> <br /> Konfigurácia zón je v súbore ''/etc/shorewall/zones''.&lt;br&gt;<br /> Definuje názvy jednotlivých zón z pohľadu [[firewall]]u a ich typy.<br /> <br /> fw firewall<br /> net ipv4<br /> lan ipv4<br /> <br /> ===Definovanie interfejsov===<br /> <br /> Konfigurácia interfejsov je v súbore ''/etc/shorewall/interfaces''&lt;br&gt;<br /> Príklad priraďuje názvy zón ku konkrétnym interfejsom (net-&gt;ppp0,...) a základne pravidla<br /> <br /> net ppp0 detect dhcp,routefilter,tcpflags,logmartians,nosmurfs<br /> lan eth0 192.168.10.255 dhcp<br /> <br /> ===Politika [[firewall]]u===<br /> <br /> Konfigurácia politiky sa nachádza v súbore ''/etc/shorewall/policy''&lt;br&gt;<br /> Príklad zobrazuje jednoduchý [[firewall]] (dve sieťovky). Z uvedeného vyplýva, ze pakety z firewallu (fw) môžu ísť všetkými smermi.&lt;br&gt;<br /> Pakety prichádzajúce do interfejsov z internetu (net) a z LAN (lan) sú zahodené a je o tom zapísany log.&lt;br&gt;<br /> Obyčajne sa zakáže všetko a povolí len to čo potrebujeme.<br /> <br /> fw all ACCEPT<br /> net all DROP info<br /> lan all DROP info<br /> <br /> ===Nastavenie maškarády===<br /> <br /> Veľmi často je potrebne zamaskovať LAN (lan) a verejnú IP interfejsu ppp0 (net) (uvedene vzhľadom na príklad).&lt;br&gt;<br /> Maškaráda sa definuje v súbore ''/etc/shorewall/masq''.&lt;br&gt;<br /> V prvom stĺpci je interfejs vonkajšej sieťovky, v druhom interfejs na ktorý je pripojená LAN.<br /> <br /> ppp0 eth1<br /> ppp0 eth0<br /> <br /> ===Definovanie pravidiel===<br /> <br /> Pravidla o narábaní s paketmi sa definujú v súbore ''/etc/shorewall/rules''.&lt;br&gt;<br /> Príklady:<br /> <br /> ## kompletne povolenie PINGOV vsetkymi smermi<br /> ACCEPT all all icmp<br /> ## povolenie pristupu z LAN do internetu na porty tcp 80 a 443 (povolenie http a https)<br /> ACCEPT lan net tcp 80,443<br /> ## povolenie pristupu z LAN na konkretny postovy server<br /> ACCEPT lan net:10.45.65.200 tcp 465,995<br /> ## povolenie SSH iba jednej IP z LAN na iba jeden server<br /> ACCEPT lan:192.168.10.5 net:195.65.25.22 tcp 22<br /> ## povolenie pristupu z internetu na web server beziaci na firewalle<br /> ACCEPT net $FW tcp 80<br /> ## povolenie pristupu z internetu na IP kameru v LAN<br /> DNAT net lan:192.168.10.155 tcp 80<br /> <br /> ===ACCOUNTING===<br /> <br /> Nastavenia accounting sú definovane v konfiguračnom súbore ''/etc/shorewall/accounting''&lt;br&gt;<br /> Výstup z jednotlivých počítadiel získame príkazom:<br /> <br /> shorewall[-lite] show -x accounting<br /> <br /> Príklad nastavenia accountingu v prípade webu (http, https)<br /> <br /> #ACTION CHAIN SOURCE DESTINATION PROTOCOL DEST SOURCE<br /> # PORT PORT<br /> web:COUNT - eth0 eth1 tcp 80<br /> web:COUNT - eth1 eth0 tcp - 80<br /> web:COUNT - eth0 eth1 tcp 443<br /> web:COUNT - eth1 eth0 tcp - 443<br /> DONE web<br /> <br /> <br /> príkaz na výpis počítadiel<br /> <br /> shorewall show web<br /> <br /> <br /> [[Category:Softvér]]</div>

Gieci