 |
Pobierz spakowaną witrynę gorzow-wlkp.pl/linuxJeżeli pragniesz poznać Linuksa Mandrake (obecnie Mandriva), to... dobrze trafiłeś. Witryna została zauważona przez twórców magazynu KOMPUTER ŚWIAT 5/2004(141) str. 46 poprzez umieszczenie linku oraz magazynu CHIP 4/2004 (str.114) poprzez umieszczenie artykułu opisującego ten serwis internetowy. Jak na hobbystyczną stronę o Linuksie to miłe ;) Acha... na stronie mandrakelinux.pl/informacje podano też link z opisem cytuję "duży zbiór praktycznych informacji o Mandrake" (mam ją w swoim archiwum - klub.chip.pl/twarogal).
Zapraszam do zadawania pytań na FORUM oraz mailem. Chętnie udzielę (bezpłatnie) odpowiedzi. Oficjalne ceny za jedną poradę na stronie MandrakeSoftPL (mam ją w moim archiwum z dnia 2.05.2004) wahają się od 20 do 350 zł.
Praktyczne przykłady zastosowań skryptów SHOREWALL pobranych z Linuksa Mandrake/Mandriva. Zwróć uwagę na wersję SHOREWALLA zarówno na swoim komputerze, jak i w poniższych przykładach. To ważne, gdyż jest zupełnie inna logika
tworzenia np. stref (i nie tylko) w wersji 1.x, a inna w 2.x.
Zapraszam na sąsiednią stronę zawierającą tłumaczenia plików
konfiguracyjnych Shorewalla 1.3 oraz 1.4
instalowanych na Mandrake z serii 9.x.
Przypominam, że firewalla w Mandrake ustawisz
najprościej zleceniem drakfirewall - zostaną
uruchomione różne programy i w standardowych konfiguracjach nastąpi
konfiguracja shorewalla nadzorującego iptables. Zlecenie drakfirewall przyda się w sytuacji, gdy nie będziesz wiedział jak wpisać ręcznie do konfigów np. udostępnienie portów od 24444 do 25555 (udp). Wybierz DRAKFIREWALL- ZAAWANSOWANE i wpisz 24444:25555/udp (bez spacji). Potem wyedytuj plik /etc/shorewall/rules i odszukaj zapis.
Przydatny link z
praktycznymi przykładami znajduje sie na stronie domowej projektu:
www1.shorewall.net/pub/shorewall/Samples/ . Trzeba
oczywiście wcześniej poznać nr wersji shorewalla zainstalowanego na
Twoim komputerze - info znajdziesz na początku pliku
/etc/shorewall/ shorewall.conf . Na swoim Linuksie Mandrake
praktyczne przykłady shorewalla znajdziesz w pliku:
/usr/share/doc/shorewall-doc- 1.3.14/ index.htm. W lewym
panelu wybierasz QuickStart Guides (HOWTOs). Jeżeli nie masz
takiego pliku, to musisz doinstalować paczkę
shorewall-doc-1.3.14-mdk (numer wersji może u Ciebie być inny).
*
Zajmiemy się teraz najprostszą regułką w pliku
/etc/shorewall/rules:
ACCEPT fw net tcp 80 -
Pozwoli Ci ona z komputera serwera na przeglądanie WWW. Za to taki
zapis:
ACCEPT fw net:123.123.123.123 tcp 80 -
Pozwoli Ci na przeglądanie WWW tylko ze strony pod adresem
123.123.123.123
*
Wykaz modyfikowanych plików SHOREWALLa (instalowanego na Mandrake/Mandriva),
w zależności od
przyjętych opcji. Pozostałe pliki w katalogu /etc/shorewall nie
były zmieniane w porównaniu do ustawień tuż po instalacji (w wersji
BRAK ZABEZPIECZEŃ). Komputer pracuje na łączu SDI (modem ppp0).
Udostępnianie Internetu do domowej sieci odbywa się na eth0 (karta sieciowa).
Dla użytkowników łącza Neostrada załączam pliki
konfiguracyjne mojego znajomego, który spakował je i przesłał
mi mailem. Paczkę tar rozpakujesz zleceniem tar
zxpvf nazwapaczki.tar
*
|
SHOREWALL 1,3 jest w opcji BRAK
ZABEZPIECZEŃ. Nie skonfigurowano udostępniania.
|
/etc/shorewall/rules
#
#ACTION SOURCE DEST PROTO DEST SOURCE ORIGINAL
# PORT PORT(S) DEST
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT
REMOVE |
/etc/shorewall/interfaces
#
#ZONE INTERFACE BROADCAST OPTIONS
net eth0 detect
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT
REMOVE |
/etc/shorewall/masq
#
#INTERFACE SUBNET ADDRESS
#LAST LINE -- ADD YOUR ENTRIES ABOVE THIS LINE -- DO NOT REMOVE
/etc/shorewall/zones
#ZONE DISPLAY COMMENTS
net Net Internet zone
#LAST LINE - ADD YOUR ENTRIES ABOVE THIS ONE - DO NOT REMOVE
|
/etc/shorewall/policy
#
#SOURCE DEST POLICY LOG LEVEL LIMIT:BURST
fw net ACCEPT
net all DROP info
all all REJECT info
#LAST LINE -- ADD YOUR ENTRIES ABOVE THIS LINE -- DO NOT
REMOVE |
*
SHOREWALL 1.3 został skonfigurowany w opcji
udostępnienia Internetu dla wszystkich klientów z domowej sieci.
Działa Samba-Serwer oraz Samba-Clients.
|
/etc/shorewall/rules
#
#ACTION SOURCE DEST PROTO DEST SOURCE ORIGINAL
# PORT PORT(S) DEST
ACCEPT masq fw tcp domain,bootps,http,https,631,imap,pop3,smtp,nntp,ntp -
ACCEPT masq fw udp domain,bootps,http,https,631,imap,pop3,smtp,nntp,ntp -
ACCEPT fw masq tcp 631,137,138,139 -
ACCEPT fw masq udp 631,137,138,139 -
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT
REMOVE |
/etc/shorewall/interfaces
#
#ZONE INTERFACE BROADCAST OPTIONS
masq eth0 detect
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT
REMOVE |
/etc/shorewall/masq
#
#INTERFACE SUBNET ADDRESS
ppp0 192.168.0.0/255.255.255.0
#LAST LINE -- ADD YOUR ENTRIES ABOVE THIS LINE -- DO NOT REMOVE
Jak widać z Internetem łaczymy się poprzez modem (SDI) na
interfejsie ppp0
|
|
/etc/shorewall/zones
#
#ZONE DISPLAY COMMENTS
net Net Internet zone
masq Masquerade Masquerade Local
#LAST LINE - ADD YOUR ENTRIES ABOVE THIS ONE - DO NOT REMOVE
|
/etc/shorewall/policy
#
#SOURCE DEST POLICY LOG LEVEL LIMIT:BURST
masq net ACCEPT
fw net ACCEPT
net all DROP info
all all REJECT info
#LAST LINE -- ADD YOUR ENTRIES ABOVE THIS LINE -- DO NOT
REMOVE |
*
|
SHOREWALL 1.3 został skonfigurowany w
opcji udostępnienia Internetu dla wszystkich klientów z domowej
sieci oraz z zewnątrz: serwera ftp i www. Łączymy się z
Internetem na eth0, a sieć domowa pracuje na eth1.
Na czerwono zaznaczyłem opcję udostępniania
sieci dla wybranych klientów z domowej sieci (plik
masq).
|
/etc/shorewall/rules
#
#ACTION SOURCE DEST PROTO DEST SOURCE ORIGINAL
# PORT PORT(S) DEST
ACCEPT net fw tcp 80,443,20,21 -
ACCEPT masq fw tcp 80,443,20,21 -
ACCEPT loc fw tcp 80,443,20,21 -
ACCEPT masq fw tcp domain,bootps,http,https,631,imap,pop3,smtp,nntp,ntp -
ACCEPT masq fw udp domain,bootps,http,https,631,imap,pop3,smtp,nntp,ntp -
ACCEPT fw masq tcp 631,137,138,139 -
ACCEPT fw masq udp 631,137,138,139 -
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT
REMOVE |
/etc/shorewall/interfaces
#
#ZONE INTERFACE BROADCAST OPTIONS
net eth0 detect
masq eth0 detect
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT
REMOVE |
/etc/shorewall/masq
#
#INTERFACE SUBNET ADDRESS
eth0 192.168.0.0/255.255.255.0
#LAST LINE -- ADD YOUR ENTRIES ABOVE THIS LINE -- DO NOT REMOVE
lub
#INTERFACE SUBNET ADDRESS
eth0 192.168.0.2/255.255.255.255
eth0 192.168.0.3/32
#LAST LINE -- ADD YOUR ENTRIES ABOVE THIS LINE
-- DO NOT REMOVE
Jak zauważyłeś można użyć maskę 255.255.255.255 lub
/32 gdyż są to oznaczenia tej samej maski na różne sposoby.
Więcej na ten temat tutaj.
Oczywiście jeżeli łączysz się z Internetem poprzez modem (np.
SDI), to zamiast wpisu eth0
192.168.0.3/32 należy dać wpis ppp0 192.168.0.3/32
|
|
/etc/shorewall/zones
#
#ZONE DISPLAY COMMENTS
net Net Internet zone
masq Masquerade Masquerade
Local
loc Local Local
#LAST LINE - ADD YOUR ENTRIES ABOVE THIS ONE - DO NOT REMOVE
|
/etc/shorewall/policy
#
#SOURCE DEST POLICY LOG LEVEL LIMIT:BURST
masq net ACCEPT
loc net ACCEPT
fw net ACCEPT
net all DROP info
all all REJECT info
#LAST LINE -- ADD YOUR ENTRIES ABOVE THIS LINE -- DO NOT
REMOVE |
*
SHOREWALL 1.3Z pewnością słyszałeś o tzw. przekierowaniu. Przypuśćmy, że w Internecie
ktoś wpisał (do swojej przeglądarki) Twój adres serwera. Adres może
być taki http://217.96.171.101 lub taki
http://jakisadres.pl . Wezwanie nadchodzi na Twój
serwer-router o IP zewnętrznym 217.96.171.101, ale Ty
przebiegle zainstalowałeś Apacha na drugim komputerze (kliencie w
domowej sieci) o adresie 192.168.0.2. Sygnał jest
"przesyłany dalej" czyli forwardowany. Inaczej mówiąc
serwer-router podłączony do Internetu czai się (nasłuchuje:)
na porcie 80, ale... nie obsługuje wezwań bezpośrednio, lecz
firewallem przerzuca wezwanie do komputera wewnątrz sieci.
Następnie pozwala na wysyłanie odpowiedzi. Prace poprawkowe
wykonamy tylko w jednym pliku /etc/shorewall/ rules.
Pozostałe pliki zostawiamy w wersji domyślnej (po konfiguracji
zleceniem drakfirewall).
Przypominam, że strefy są ustalone w pliku zones, a
interfejsy dla danych stref w pliku interfaces. Z Internetem
łączymy się poprzez SDI (ppp0), a domowa sieć pracuje na
eth0.
Należy (na serwerze-routerze) w pliku
/etc/shorewall/rules ustawić następujące opcje. Na czerwono zaznaczyłem poprawki.
ACCEPT net fw tcp 80,443,20,21 -
ACCEPT masq fw tcp 80,443,20,21 -
ACCEPT loc fw tcp 80,443,20,21 -
ACCEPT masq fw tcp domain,bootps,http,https,631,imap,pop3,smtp,nntp,ntp -
ACCEPT masq fw udp domain,bootps,http,https,631,imap,pop3,smtp,nntp,ntp -
ACCEPT fw masq tcp 80,631,137,138,139 -
ACCEPT fw masq udp 80,631,137,138,139 -
ACCEPT net masq tcp 80 -
ACCEPT masq net tcp 80 -
DNAT net loc:192.168.0.2 tcp 80 - 217.96.171.101
#DNAT fw loc:192.168.0.2 tcp 80 - 217.96.171.101
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE
- Wiersz pierwszy: udostępnić połączenia ze strefy net
(internet) do fw (serwer) na porcie 80
- Wiersz drugi: udostępnić połączenia ze strefy masq
(wewnętrzna, domowa, maskowana sieć) do fw (serwer) na
porcie 80
- Wiersz trzeci: udostępnić połączenia ze strefy loc do
fw. Trzy pierwsze wiersze są (jak
zapewne zauważyłeś) standardowe i nie trzeba ich
modyfikować.
- Kolejne wiersze 4-7 zawierają standardowe ustawienia masq i nie
trzeba ich modyfikować.
- Dodajemy w dwóch kolejnych wierszach 8/9 zezwolenie na porcie
80, aby z komputerów w domowej sieci móc oglądać strony www
udostępniane na kliencie domowej sieci. Czyli dopisujemy port 80 do istniejących ustawień
połączenia ze strefy fw do strefy masq na protokole
TCP/UDP.
- Dodajemy dwa nowe wiersze 10/11,
czyli akceptujemy bezpośrednie połączenia z Internetu do strefy
masq oraz ze strefy masq do net.
- teraz dopiero wpisujemy właściwy wiersz
przekierowujący wezwania:
DNAT net loc:192.168.0.2 tcp 80 - 217.96.171.101
192.168.0.2 to adres komputera-klienta w domowej sieci, na
którym zainstalowalismy Apache. 217.96.171.101 to mój
zewnętrzny adres IP.
- Ostatni wiersz bardzo spowalniał mi pracę serwera, więc po
okresie testów zostawiłem go w wersji zahaszowanej. Potrzebny był,
abym z serwera-routera mógł oglądać stronki na 192.168.0.2
Stosując powyższe przekierowanie
wpuszczasz pakiety z Internetu do strefy masq, co jest w
sumie niebezpieczne (mimo, że tylko na porcie 80). Dla podniesienia
bezpieczeństwa zaprojektowano osobną strefę dmz. To strefa
szczególnego rodzaju. Umieszczony jest w niej np. tylko jeden
komputer z demonami ftp, www na pokładzie. Ten komputer łączy się z
routerem (i z Internetem) bez ograniczeń stosowanych wobec strefy
masq i trzeba go solidnie zabezpieczyć przed włamaniami. Na
szczęcie w przypadku udanego wyhakowania takiego serwera, domowa
sieć (oparta na strefie masq) jest nadal bezpieczna. Ja w
swojej sieci, ze względu na małą ilość komputerów nie zastosowałem
strefy dmz. |
*
SHOREWALL 1.3
Przykład pliku /etc/shorewall/rules, w którym ręcznie wykonałem małe poprawki dostosowując
firewall do moich wymagań.
#
#ACTION SOURCE DEST PROTO DEST SOURCE ORIGINAL
# PORT PORT(S) DEST
DROP net:193.219.28.154 fw tcp 80,443,22,20,21 -
DROP net:217.153.57.115 fw tcp 80,443,22,20,21 -
#ACCEPT net fw tcp 80,443,22,20,21 -
ACCEPT net fw tcp 80,443,20,21 -
ACCEPT masq fw tcp 80,443,22,20,21 -
ACCEPT loc fw tcp 80,443,22,20,21 -
ACCEPT masq fw tcp domain,bootps,http,https,631,imap,pop3,smtp,nntp,ntp -
ACCEPT masq fw udp domain,bootps,http,https,631,imap,pop3,smtp,nntp,ntp -
ACCEPT fw masq tcp 631,137,138,139 -
ACCEPT fw masq udp 631,137,138,139 -
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE
Teraz po kolei objaśnię o co chodzi w zaznaczonym na niebiesko
tekście.
DROP net:193.219.28.154 fw tcp 80,443,22,20,21 -
DROP net:217.153.57.115 fw tcp 80,443,22,20,21 -
Mam serwer na SDI i udostępniam Internet dla
domowej sieci. Na serwerze dostępowym zainstalowałem Apacha,
ProFTPd, sshd. Usługi te udostępniam wszystkim (czasami poza
ssh - port 22, ale o tym poniżej). Jak widać dodałem
(do ustawień domyślnych) NA SAMYM POCZĄTKU dwie podobne regułki odrzucające wezwania z Internetu dwóch
adresów 193.219.28.154 plus
217.153.57.115, które są u mnie nielubiane (np. zbyt często
skanują mi porty, wykonują podejrzane próby włamów itp.). Uwaga na
klientów z netu, którzy maja np. modem ppp lub Neostradę - tam nr
IP są zmienne. Zauważyłeś, że nie blokuję ich na wszystkich
portach, a tylko tych które firewall dopuszcza do obsługi, czyli
80,443,22,20,21, gdyż na serwerze mam uruchomione demony:
httpd (http, https), sshd, proftpd
(20,21).
Kolejne dwa wiersze są dosyć ciekawe, gdyż
zastosowałem tam jeden wiersz zahaszowany #, aby go wyłączyć oraz
drugi (aktywny) bardzo podobny.
#ACCEPT net fw tcp 80,443,22,20,21 -
ACCEPT net fw tcp 80,443,20,21 -
Wiersze te odpowiadają za udostępnianie usług
z zewnątrz (z Internetu). Jak widać, w zahaszowanym wierszu
dopuszczam (z Internetu) wezwania na porty 80,443, 22,20,21 (port 22 dla sshd jest otwarty).
Wiersz poniżej dopuszcza tylko 80,443,20,21 (usługa sshd nie
jest dopuszczona z Internetu). Gdy chcę, by sshd był
dostępny z Internetu, wtedy (poza oczywistą rekonfiguracją samego
demona sshd) odhaszowuję wiersz górny, a zahaszowuję wiersz
dolny. Po restarcie shorewalla zleceniem (jak root)
/etc/rc.d/init.d/shorewall restart mam gotowego firewalla.
Oczywiście w powyższym przykładzie usługa sshd nie jest
dostępna z Internetu, a jedynie z klienta domowej sieci (dzięki
wpisowi ACCEPT masq fw tcp 80,443,22,20,21 -) . Uwaga:
jeżeli z serwerem sshd łączysz się z TYLKO komputera-klienta
z domowej sieci, powinieneś w /etc/ssh/sshd_config ustawić
nasłuchiwanie TYLKO na adresie wewnętrznym serwera-routera (opcja
ListenAddress 192.168.0.1). Więcej o sshd tutaj.
|
*
Przyjmijmy, że pracujesz na Mandrake 9.1 lub
9.2 (Shorewall 1.4) na łączu DSL. W celach testowych chcesz mieć
możliwość uruchomienia pingów do serwera (standardowo przy WYŻSZYM
"poziomie bezpieczeństwa" serwer nie odpowiada na pingi).
Powinieneś wówczas wykonać kilka kroków:
- Uruchamiasz zlecenie mcc (Mandrake Control
Center).
- Wybierasz BEZPIECZEŃSTWO.
- Wybierasz POZIOM SPRAWDZENIA
- Przejdź do zakladki OPCJE SIECI
- Tam gdzie napisano AKCEPTOWANIE ECHA ICMP (domyślna)
wtawiasz TAK, OK i zamykasz mcc, a uruchamiasz
konsolę.
- Otwierasz plik /etc/shorewall/rules (wersja Shorewall
1.4) i wpisujesz:
ACCEPT loc fw icmp 8
(jest to możliwość pingowania serwera od wewnatrz
sieci)
ACCEPT net fw icmp 8
(jest to możliwość pingowania serwera z zewnatrz
sieci)
- Restartuj Shorewalla lub system. Shorewall restarujemy
zleceniem:
shorewall restart
lub
/etc/rc.d/init.d/shorewall restart
|
*
SHOREWALL 2.0
Mam na Linuksie Mandriva 2005 (Mandrake 10.2) router z dostępem do Internetu.
Chcę, aby dwie domowe podsieci miały dostęp do Internetu, ale tak by się nawzajem w sieci nie widziały.
W komputerze-routerze posiadam 3 karty sieciowe do których przypisałem:
eth0 217.96.171.101 (adres IP z dostępem do Internetu)
eth1 192.168.0.1 (wewnętrzny adres routera nr 1)
eth2 192.168.1.1 (wewnętrzny adres routera nr 2)
Standardowe udostępnianie za pomocą druida udostepnia Internet tylko dla jednej podsieci eth1.
Muszę więc ręcznie przekonfigurować Shorewall 2.0.8.
Popraw następujące piki:
/etc/shorewall/zone
net Net Internet zone
loc Local Local
loc2 Local Local
/etc/shorewall/interfaces
net eth0 detect
loc eth1 detect
loc2 eth2 detect
/etc/shorewall/rules
ACCEPT net fw tcp 80,443 -
ACCEPT loc fw tcp 80,443 -
ACCEPT loc2 fw tcp 80,443 -
REDIRECT loc 3128 tcp www -
REDIRECT loc2 3128 tcp www -
ACCEPT fw net tcp www
REDIRECT loc 3128 tcp www -
ACCEPT fw net tcp www
/etc/shorewall/policy
# THE FOLLOWING POLICY MUST BE LAST
loc net ACCEPT
loc2 net ACCEPT
loc fw ACCEPT
loc2 fw ACCEPT
fw loc ACCEPT
fw net ACCEPT
loc loc2 DROP
loc2 loc DROP
net all DROP info
all all REJECT info
/etc/shorewall/masq
#INTERFACE SUBNET ADDRESS PROTO PORT(S)
eth0 192.168.0.0/255.255.255.0
eth0 192.168.1.0/255.255.255.0
#eth0 192.168.2.0/255.255.255.0
#LAST LINE -- ADD YOUR ENTRIES ABOVE THIS LINE -- DO NOT REMOVE
Dodatkowa informacja: mając Squida trzeba dopisać w pliku squid.conf
acl mynetwork src 192.168.0.0/255.255.255.0
acl mynetwork src 192.168.1.0/255.255.255.0
Restartuj Shorewalla lub system. Shorewall restarujemy
zleceniem:
shorewall restart
lub
/etc/rc.d/init.d/shorewall restart
Jeżeli będziesz miał problemy, to na czas testów wyłącz SQUID. Opis na sąsiedniej stronie.
Porada wprowadzona z FORUM (mam kopię w archiwum).
Podziękowania dla Witolda (klemensss@o2.pl)
|
*
SHOREWALL 2.0 (Mandrake 10.2/Mandriva 2005)
Przyjmijmy, że jako administrator dostałeś zadanie skonfigurowania firewalla tak, aby pozwalał jedynie na ściśle określone czynności wykonywane z komputerów zakładowej sieci do Internetu. Przykładowo: z klienta w wewnętrznej sieci można pobrać pocztę TYLKO z serwera 217.96.171.102 oraz pobrać strony www TYLKO z 217.96.171.101.
Przyjmuję, że pracujesz na Mandriva 2005, masz skonfigurowane połączenie z Internetem i udostępnianie Internetu dla wewnętrznej sieci. Na routerze działa serwer Apache (na portach 80, 443) dostępny z netu i strefy local (poniższy wpis ACCEPT net fw tcp 80,443 - ). Na serwerze działa także serwer ftpd, sshd (na portach 20,21,22) dostępny ze strefy local (poniższy wpis ACCEPT loc fw tcp 80,443,20,21,22 - ).
*
Możesz uszczelniać wprowadzając pojedyńcze wpisy do pliku /etc/rules (np. wpis DROP loc net tcp 8074 - zablokuje z domowej sieci dostęp do GG). Można też radykalnie uszczelnić firewalla i o tym jest ponizszy przykład.
*
W ramach uszczelniania sieci zmienisz zawartość tylko dwóch plików: /etc/shorewall/ policy oraz /etc/shorewall/ rules.
Plik policy wskazuje firewallowi co ma robić, gdy zaistnieje działanie nieskonfigurowane w pliku rules. Generalnie można przyjąć dwa schematy konfiguracji:
* w pliku policy wszystko zablokować, a w pliku rules odblokowywać
lub
* w pliku policy wszystko odblokować, a w pliku rules blokować
W Mandriva 2005 plik policy ma domyślnie kluczowe opcje ODBLOKOWANE (ACCEPT).
/etc/shorewall/policy
loc net DROP
loc fw ACCEPT
fw loc ACCEPT
fw net ACCEPT
net all DROP info
all all REJECT info
#LAST LINE -- DO NOT REMOVE
Ręcznie ZABLOKOWALIŚMY (DROP) wszystkie połączenia od strefy loc do net ( loc to wewnętrzna sieć, net to internet).
/etc/shorewall/rules
ACCEPT net fw tcp 80,443 -
ACCEPT loc fw tcp 80,443,20,21,22 -
#REDIRECT loc 3128 tcp www -
ACCEPT fw net tcp www -
ACCEPT loc net tcp 53 -#dns
ACCEPT loc net udp 53 -#dns
ACCEPT loc net:217.96.171.101 tcp 80,443 -#serwer www
ACCEPT loc net:217.96.171.101 udp 80,443 -#serwer www
ACCEPT loc net:217.96.171.102 tcp 25,110 -#serwer pocztowy
ACCEPT loc net:217.96.171.102 udp 25,110 -#serwer pocztowy
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE
Wyłączyliśmy przekierowanie na port 3128 (wezwania do załadowania stron będą realizowane bezpośrednio, a nie poprzez SQUID).
Odblokowaliśmy port 53, by umożliwić zapytania DNS (konieczne).
Odblokowaliśmy wezwania na adres 217.96.171.101 (port 80 czyli strony www, port 443 czyli szyfrowane połączenie ze stronami www).
Odblokowaliśmy wezwania na adres 217.96.171.102 (porty 25, 110 obsługują pobieranie i wysyłanie poczty)
*
Można też inaczej zablokować dostęp do Internetu. Mając w pliku policy wpis loc net DROP wykonaj poniższe:
/etc/shorewall/rules
ACCEPT net fw tcp 80,443 -
ACCEPT loc fw tcp 80,443,20,21,22 -
ACCEPT loc net tcp 53 -#dns
ACCEPT loc net udp 53 -#dns
ACCEPT loc:192.168.1.26 net:217.17.41.82 tcp 8074 -#serwer GaduGadu
ACCEPT loc:192.168.1.26 net:217.17.41.84 tcp 8074 -#serwer GaduGadu
ACCEPT loc:192.168.1.24 net tcp 25,110 -#serwer pocztowy
ACCEPT loc:192.168.1.24 net udp 25,110 -#serwer pocztowy
ACCEPT loc:192.168.1.25 net tcp 25,110 -#serwer pocztowy
ACCEPT loc:192.168.1.25 net udp 25,110 -#serwer pocztowy
REDIRECT loc :192.168.1.24 3128 tcp www -
ACCEPT fw net tcp www -
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE
Taka konfiguracja umożliwi jedynie komputerowi 192.168.1.24 (z domowej sieci) dostęp do stron www w Internecie (za pośrednictwem SQUIDa pracującego na porcie 3128).
Dostęp do serwerów pocztowych w Internecie będzie możliwy z komputera 192.168.1.24 oraz 192.168.1.25. Za to host 192.168.1.26 będzie mógł uruchomić Gadu-Gadu. Uwaga: adresy serwera Gadu-Gadu: 217.17.41.82 i 217.17.41.84 mogą się zmienić. Jeżeli wpis nie zadziała, to sprawdź jakie są aktualne adresy, lub wywal wpis zawierający IP:
ACCEPT loc:192.168.1.26 net tcp 8074 -
|
Uwaga: z powodu namnożenia się różnych złodziejskich witryn www, które kopiują moje strony i umieszczają je u siebie wraz z komercyjnymi reklamami (na których zarabiają) informuję, że wszelkie prawa są zastrzeżone.
Uwaga.
Aby uniknąć zasysania całej witryny gorzow-wlkp.pl/linux za pomocą programów typu TeleportPro, WebCopier itd. informuję, że udostępniłem spakowaną wersję (w formacie RAR).
|
|
 |
