Shorewall Firewall

  Debian, Linux

Shorewall ist eine auf den iptables basierende Linux Firewall. Sie kontrolliert den Ein-/Ausgehenden Verkehr auf allen vorhanden Interfaces.

Installation

Um Shorwall zu installieren, führt man folgenden Befehl aus:

Für den IPv6 Support, gibt es speziell eine v6 Version

 Konfiguration

Die Konfiguration der Shorewall funktioniert über mehrere conf-Dateien. Es gibt einige Vorlagen im Verzeichnis

cd /usr/share/doc/shorewall/examples

Dort findet man Konfigurationsbeispiele für eine, zwei oder drei Netzwerkkarten. Da wird Standardmäßig eine Karte und einen OpenVPN Adapter pro Server haben interessiert uns an dieser Stelle der Ordner two-interfaces.

Die Dateien aus diesem Ordner einfach in das /etc/shorewall-Verzeichnis kopieren

cp /usr/share/doc/shorewall/examples/two-interfaces /etc/shorewall/

Da es hier nur um die Einrichtung geht, findet an dieser Stelle keine weitere Erklärung, der einzelnen Schalter statt. In den meisten Fällen, sind man-pages vorhanden.
interfaces

In der Interfaces-Conf, werden die Netzwerkadapter und bestimmte Optionen hinterlegt.

 masq

In der Masq-Conf werden die Netzwerkadapter eingetragen, deren IP-Adressen maskiert werden soll (NAT)

 policy

In der Policy-Conf, werden die Standardregeln definiert. Das sind die Regeln, die immer greifen, wenn keine andere zutrifft.

 params

Die Params-Conf ist für zusätzliche Konfigurationen und Variablen gedacht, die man in den anderen Konfigurationsdateien benötigt. An dieser Tragen wir den ulog-Daemon, als Log ein.

 routestopped

In der Routestopped-Conf werden die Hosts definiert, die Zugriff haben, wenn die Firewall gestoppt ist/wird.

 rules

In der Rules-Conf werden die Regeln der Firewall definiert. Hier werden alle Dienste/Ports eingetragen die explizit geöffnet bzw. geschlossen werden sollen.

 zones

In der Zones-Conf, werden die Zonen definiert, die z.B. in der rules eine Wiederverwendung finden. Sinnigerweise unterteilt man hier in die Netze der Interfaces bzw. der vorhandenen Subentze oder VLANs

Dann folgt der letzte Schalter, ohne den Firewall nicht startet:

nano /etc/default/shorewall

 

LEAVE A COMMENT