GNU/Linux
 
 
Shorewall
(Front-End em modo texto para o IPTABLES, TC, IP etc)

O Shorewall é um front-end para o IPTABLES.




INSTALAÇÃO
# apt-get install shorewall



DEFININDO INTERFACES DE REDE
vi /etc/shorewall/interfaces (arquivo de configuração que define as interfaces de rede. Perceba que nas configuração de regras como de ACCEPT, DROP, NAT, REDIRECT etc vai ser usada a nomeclatura definida nesse arquivo)
#ZONE INTERFACE BROADCAST OPTIONS (comentário que mostra o que pode ser definido nesse arquivo)
net eth0 (especifica que a interface de rede "eth0" vai se chamar "net". Geralmente "net" define a interface que está diretamente na Internet)
loc eth1 (especifica que a interface de rede "eth1" vai se chamar "loc". Geralmente loc" define a interface de rede que está rede local - LAN)
dmz eth2 (especifica que a interface de rede "eth2" vai se chamar "dmz". Geralmente "dmz" define a interface de rede que está na DMZ)
vpn tun0 (especifica que a interface de rede "tun0" vai se chamar "vpn". Geralmente "vpn" define a interface de rede VPN)
vpn tun1 (especifica que a interface de rede "tun1" vai se chamar "vpn". Geralmente "vpn" define a interface de rede VPN)
vpn tun2 (especifica que a interface de rede "tun2" vai se chamar "vpn". Geralmente "vpn" define a interface de rede VPN)


DEFININDO AS ZONAS
# vi /etc/shorewall/zones (arquivo de configuração)
#ZONE TYPE OPTIONS IN OUT (comentário que mostra o que pode ser definido nesse arquivo)
fw firewall (define que o Firewall vai se chamar "fw". O "fw" será usado nas regras para especificar o Firewall)
loc ipv4 (define que a interface de rede que foi definida como "loc" usará o IPv4)
dmz ipv4 (define que a interface de rede que foi definida como "dmz" usará o IPv4)
net ipv4 (define que a interface de rede que foi definida como "net" usará o IPv4)
vpn ipv4 (define que a interface de rede que foi definida como "vpn" usará o IPv4)


DEFININDO AS POLÍTICAS
# vi /etc/shorewall/policy (arquivo de configuração)
#SOURCE DEST POLICY LOG-LEVEL LIMIT:BURST (comentário que mostra o que pode ser definido nesse arquivo)
fw all ACCEPT (todo o tráfego origenado no Firewall para qualquer lugar será liberado)
net all DROP (todo o tráfego onde a origem for da "net" para qualquer lugar será descartado)
vpn all ACCEPT (todo o tráfego onde a origem for da "vpn" para qualquer lugar será aceito)
loc all DROP (todo o tráfego onde a origem for da "loc" para qualquer lugar será descartado)
dmz all DROP (todo o tráfego onde a origem for da "dmz" para qualquer lugar será descartado)
all all REJECT (qualquer outro tipo de tráfego que não se encaixar com as que foram definidas acima será descartado)


REGRAS - ACCEPT | DROP
# vi /etc/shorewall/rules (arquivo de configuração)
ACCEPT loc net udp 53 (aceita tráfego UDP porta 53 da LAN para Internet)
ACCEPT loc net tcp 3389 (aceita tráfego TCP porta 3389 da LAN para Internet)
ACCEPT loc net tcp 80 (aceita tráfego TCP porta 80 da LAN para Internet)
ACCEPT loc net:200.201.160.0/20 all - (aceita qualquer tráfego da LAN para Internet, mas somente com destino 200.201.160.0/20)
ACCEPT loc:10.61.0.55 all all - (aceita qualquer tráfego da LAN para Internet, mas somente se a origem for do IP 10.61.0.55)
ACCEPT net fw udp 53 (aceita tráfego UDP porta 53 da Internet em direção ao Firewall. Esse caso é quando o Firewall também é DNS externo)
ACCEPT loc fw udp 53 (aceita tráfego UDP porta 53 da LAN em direção ao Firewall. Esse caso é quando o Firewall também é DNS interno)
ACCEPT dmz net udp 53 (aceita tráfego UDP porta 53 da DMZ em direção a Internet. Esse caso é quando os servidores que estão na DMZ fazer consultas DNS externamente na Internet)
ACCEPT dmz loc udp 53 (aceita tráfego UDP porta 53 da DMZ em direção a LAN. Esse caso é quando os servidores que estão na DMZ fazer consultas DNS internamente na LAN)
ACCEPT net:177.252.21.35 fw tcp 53 (aceita tráfego TCP porta 53 da Firewall em direção a Internet no IP 177.252.21.35. Esse caso é quando é o DNS Primário e precisa trasferir zonas ao um DNS Secundário que está na Internet)




REGRAS - NAT
# vi /etc/shorewall/rules (arquivo de configuração)
DNAT net:201.252.21.32/27 dmz:172.16.0.3:22 tcp 628 - 200.241.34.162 (essa regra faz um NAT do IP 200.241.34.162 na porta TCP 628 para o IP 172.16.0.3 na porta TCP 22. Contudo, isso só acontecerá se a origem for da rede 201.252.21.32/27)
DNAT net:201.252.21.32/27 loc:172.18.250.131 tcp 3389 - 187.115.75.242 (essa regra faz um NAT do IP 187.115.75.242 na porta TCP 3389 para o IP 172.18.250.131 na porta TCP 3389. Contudo, isso só acontecerá se a origem for da rede 201.252.21.32/27)
DNAT net:187.58.65.136 loc:192.168.1.20:3389 tcp 3384 - 157.115.82.21 (essa regra faz um NAT do IP 157.115.82.21 na porta TCP 3384 para o IP 192.168.1.20 na porta TCP 3389. Contudo, isso só acontecerá se a origem for do IP 187.58.65.136)


REGRAS - REDIRECT
# vi /etc/shorewall/rules (arquivo de configuração)
REDIRECT loc:172.18.250.131 3128 tcp 80 (redireciona todos que tiverem com destino a porta TCP 80 para a porta TCP 3128 no IP 172.18.250.131. Geralmente usado em proxy transparente)
REDIRECT loc:172.18.250.131 3128 tcp www (idem)
REDIRECT loc:172.18.250.131 3128 tcp www - !192.168.1.0/24 (idem, mas somente não redirecionará o trafego proviniente da rede 192.168.1.0/24)
REDIRECT loc:172.18.250.0/24 3128 tcp www - !192.168.1.0/24 ()


MASCARAMENTO
# vi /etc/shorewall/masq (arquivo de configuração)
#INTERFACE SUBNET ADDRESS PROTO PORT(S) IPSEC (comentário que mostra o que pode ser definido nesse arquivo)
eth0 192.168.1.20/32 200.115.82.22 tcp 25 (faz um mascaramento, ou seja, muda o IP de origem do tráfego TCP 25 proviniente do endereço 192.168.1.20/32 para 200.115.82.22. A "eth0" é a interface de rede a qual está o IP 200.115.82.22)
eth0 eth1
eth0 eth2



Arquivo de configuração






AGUARDE
PÁGINA EM CONSTRUÇÃO





Referências Bibliográgicas

 
 


ETI - Especialista em Tecnologia
da Informação