ショアウォール：みんなのためのファイアウォール

Linuxでファイアウォールを設定するための非常に便利なツール（およびホリバーのpfに対する強力な議論）であるにもかかわらず、突然、 Shorelineファイアウォールが Habréでまったく点灯しないことが判明しました。

「Linux-たわごと、OpenBSDでもっとかっこいい」、「そして私はKerio WinRouteがあり、あなたはすべて敗者だ」などのトピックを取り上げないでください。
この記事は、何らかの理由でLinuxを選択し、iptablesの学習に多くの時間を費やしたくない（および混乱の余地がある）人を対象としています。

したがって、カットシートの下


まず第一に、Shorewallとは何ですか？
Shorewall- 古き良き iptables、標準のLinuxファイアウォール構成ツールへのバインド。 現在のバージョンでは、 Perlを使用して 、いくつかの構成ファイルの全体を読み取って解析し、iptables-restoreと互換性のあるファイルを生成して後者にフィードします。 構成の単純さ、構成中の抽象化レベルの追加、安定したDebianで非常に時代遅れになる積極的な開発、およびいくつかのアップリンクのサポートなどの非常においしいものが特徴です。

現在、ショアウォール4.4の最新バージョン、レニー-4.0、カルミック-4.2。 私に最も近いマシンはUbuntu Server 9.10で実行されるため、主にバージョン4.2についてお話します。主要な機能セットはすぐにShorewallに登場したので、Shorewallのどのバージョンでもほとんどすべてが機能するはずです。

バージョン4.2より前のバージョンでは、ShorewallはPerlとシェルの両方を使用して構成を処理できました。 バージョン4.4では、シェルのサポートは廃止されました（バグのあるエンティティを作成するものがないため）。したがって、Perlバージョンについてのみ説明します。

インストール
ショアウォール全体がperlスクリプトと設定用の空白のセットであるため、依存関係について話すのはばかげています。 Perlとiptablesが必要です。 あなたのディストリビューションのリポジトリにあなたに適したshorewall-perlバージョンがあれば、それを置いて、もしそうでなければ、別のディストリビューションからdebまたはrpmを取り出してください。

開始と停止
我慢できないので、すぐに新しいsoftinkaを立ち上げたいです。 これは、intスクリプトだけでなく、コマンドでも実行できます

  shorewall {開始、停止、再起動} 

、これはデバッグ中にも好ましい-エラーについてはコンソールに直接書き込まれます。

構成メモ
すべての標準構成は、同梱されているものから取得する必要があります。 ファイルには、ファイルの目的に関する意味のあるコメントだけでなく、パーサーのマーカーも含まれます。パーサーは、システムの動作を保証するものではありません。 ubuntでは、それらは/ usr / share / doc / shorewall-common / default-configになりました。
ファイアウォール構成自体は/ etc / shorewallにあり、パスのないすべての構成ファイルがそこにあるはずです。

一般的なホームルーターの構成
1.ゾーン。
ショアウォールパケットルールは、ゾーンの抽象化を使用します。処理するすべてのネットワークは、何らかの方法で呼び出す必要があります。 最初に、ゾーンの名前を決定する必要があります。 私の場合、4つあります。ファイアウォール自体を含む必要なゾーン、DHCPを使用するホームネットワーク、プロバイダーLAN、およびPPPoEを介したインターネットです。 パッケージからブランクをコピーすることを忘れないでください！ 構成は次のようになりました。

  ＃猫ゾーン|尾-7
 #Zoneタイプのオプション
 ＃オプションオプション
 FWファイアウォール
 inet ipv4
 nbn ipv4
 mork ipv4
 ＃最後の行-この1つの上にエントリを追加します-削除しないでください 

ここで、nbnはプロバイダーLAN（はい、netbaynet）、morkはホームgovnosetkaです。

2.インターフェースとホスト
使用するゾーンを決定したら、ゾーン間でネットワークインターフェイス（l2）とIPネットワーク（l3）を分割する方法を言う必要があります。
interfacesファイルで、処理中のすべてのインターフェイスをリストする必要があります。 これは「このインターフェース全体がこのゾーンにある」という形式で行われるため、インターフェースを複数のゾーンに分割する場合、ゾーンの代わりにダッシュを指定する必要があります。
私の最も簡単なオプション：

  ＃tail -5インターフェイス
 #ZONE INTERFACE BROADCAST OPTIONS
 mork lanがdhcpを検出
 inet ppp +検出
 nbn prov検出
 ＃最終行-これより前にエントリを追加します-削除しないでください 

はい、はい、私のネットワークカードはlanおよびprovと呼ばれます。 ほとんどがeth0、eth1などになります。
例からわかるように、マスクを使用できます。 この場合、ppp +はppp0を含むさまざまなPPPトンネルを取得します。

1つのインターフェースを複数のゾーンに分割する場合、ホストファイルで、どのインターフェースのどのサブネットがどのゾーンに入るかを指定します。 構文は単純です-「ゾーンインターフェイス：サブネット」、例外を追加する機能。

3.ポリシー
世界をゾーンに分割するとき、デフォルトで誰に何ができるかを言うことが不可欠です。 このビジネスは政治家と呼ばれ、ポリシーファイルにあり、トラフィックフローのすべての可能な方向のポリシーを定義する必要があります。 デフォルトポリシーを最後に追加することをお勧めしますが、もう少し高くします-例外：

  ＃テール-6ポリシー
 #SOURCE DESTポリシーログの制限：CONNLIMIT：
 ＃レベルバーストマスク
 fw all ACCEPT
すべて受け入れる
すべてすべて拒否
 ＃最終行-削除しないでください 

ここでは、ホームグリッドとファイアウォールから任意の場所へのすべてのトラフィックを許可し、他のすべてを禁止しました

4.初飛行
この段階で、構成はコンパイルして獲得するはずです。 インターネットがファイアウォール上にあるのは今だけです。結局のところ、NATを構成していません。 しかし、何かが機能するとき、すでに喜んでいます:)

5. NATセットアップ
仮面舞踏会は、いつものように、単純に含まれています。 注：ゾーンではなく、インターフェースが示されています。 IPサブネットを指定でき、例外を作成できます。 Masqファイル：

  ＃猫マスク|尾-3
 #INTERFACE SOURCE ADDRESS PROTO PORT（S）IPSEC MARK
 ppp +、prov lan
 ＃最後の行-この行の上にエントリを追加-削除しないでください 

6. shorewall.conf
最初は登る必要がある場所に着きましたが、それは怠wasであり、はっきりしませんでした。 このファイルには、パーサーの構成、動作のいくつかの機能、およびその他のナンセンスが含まれています。 次のパラメータを修正し、注意を払っています。

  STARTUP_ENABLED =はい-始めましょう
 VERBOSITY = 1-コンソールの冗長性
 SHOREWALL_COMPILER = perl-混乱しないように、その場合
 * _LOG_LEVEL-すべてが正常に機能する場合、dmesgを詰まらせないようにnoneを入れます
 LOG_MARTIANS-また
 IP_FORWARDING =オン-マスカレードには非常に必要です。 もちろん、sysctl.confでこれを実行できますが、ここではより適切です
 CLAMPMSS = Yes-アップリンクMTUがホームグリッド内のどのマシンよりも小さい場合、有効にすることをお勧めします。 
                   ここでは、コンピューターの一部でウィキペディアが壊れているという非常に不快なバグにつながる可能性はありません。
 ADMINISABSENTMINDED =はい-Gdを想像しないで、そのままにしておきます 

7.ルール （最後に！）
完全に正しい操作のために、ここですべてのICMPを許可します。 同時に外部のSSH。 ルールファイル：

  ＃catルール| tail -11 | grep -v ^＃SECTION | head -5
 #ACTION SOURCE DEST PROTO DEST SOURCE ORIGINAL RATEユーザー/ MARK CONNLIMIT TIME
 ＃PORT PORT（S）DEST LIMIT GROUP
セクションNEW
すべてのICMPを受け入れる
 ACCEPT inet $ FW tcp 22 

7a。 そこでポート転送について説明します。

  ＃猫のルール| grep -E '（#ACTION | DNAT）'
 #ACTION SOURCE DEST PROTO DEST SOURCE ORIGINAL RATEユーザー/ MARK CONNLIMIT TIME
 DNAT all mork：navoff：31840 udp 31840
 DNAT nbn mork：navoff：7777 UDP 7777
 DNAT nbn mork：navoff：7777 tcp 7777 

8.利益！
この時点で、すべての方向のホームネットワークからのNATとポート転送を備えた完全に構成されたホームルーターが必要です。 外部では、ICMPとSSHのみが許可されます。 すべての構成ファイル（新規5、修正1）には、間違いを犯しにくい行が含まれています。構成は、ネットワークカードの別の名前、接続されたネットワークの他のアドレスを持つマシンに簡単に転送されます。 TCPパケットのフラグ、着信UDPパケットの発信元（単純なiptablesでDNSを借金する方法、および「着信をすべて禁止する」ポリシー）について心配する必要はありません。 debianおよびubuntでは、/ etc / default / shorewallも修正して、initスクリプトが正常に動作するようにします。場合によっては、好みのランレベルにshorewallを追加する必要があります。

9. PostScriptum
Shorewallの可能性はこれに限定されません。 組み込みのシェーピングサポート（iproute2のtc経由）、いくつかのアップリンク（別の記事に値する）、IPv6などがあります。 Webminを使用して設定することができます。 大量のドキュメント 、 FAQ 、およびマナの詳細が印象的です。 多くのLinuxユーザー（初心者でも経験豊富な管理者でも）が、iptablesへのこのバインディングで自分自身に役立つものを見つけることを願っています。