Shorewall - Linux serwerlerini sazlamak üçin ýokary derejeli gorag diwary

Linux-da gorag diwaryny gurmak täze gelen ýa-da iptables bilen gaty tanyş bolmadyk adam üçin gaty gorkunç bolup biler. Bagtymyza, Shorewall-da çözgüt ulanmak gaty aňsat.

Bu köp bölümli sapakda, men sizi “Shorewall” -dan başlaryn we bu ajaýyp firewall ulgamy bilen has ösen mowzuklary öwrenerin.

Shorewall näme?

“Shorewall” aslynda “iptables” -iň öň tarapy, ýöne konfigurasiýasy üçin birnäçe tekst faýllaryny ulanýan buýruk setiri gurşawy. “Shorewall” köp sanly enjamlara hyzmat edýän gaty uly torlaryň üsti bilen ulaldylyp bilinýän berk gorag diwary ulgamy bolsa-da, esasy iki interfeýs konfigurasiýasy bilen başlarys we esaslary çüýläris.

Iki interfeýsli konfigurasiýa iki sany Ethernet portly, biri girýän we biri ýerli tora çykýan enjamdan ybarat.

Linux-da Shorewall-y gurmak

Shorewall apt-get we yum paket dolandyryjy gurallaryny ulanyp gurup bolýar.

$ sudo apt-get install shorewall6
$ sudo yum install shorewall6

Gurlandan soň, nusga konfigurasiýasyny “/ usr/share/doc/shorewall” katalogyndan Shorewall-yň deslapky katalogyna “/ etc/shorewall” -a göçürmeli.

$ sudo cp /usr/share/doc/shorewall/example/two-interfaces/* /etc/shorewall

Soň bolsa cd/etc/shorewall.

$ cd /etc/shorewall

Bu kataloga göz aýlasak, bir topar faýl we shorewall.conf faýly göreris. Shorewall tory dürli zonalaryň topary hökmünde görýär, şonuň üçin göz aýlamak isleýän ilkinji faýlymyz “/ etc/shorewall/zones” faýlydyr.

Bu ýerde, deslapky kesgitlenen üç zonanyň bardygyny görýäris: net, loc we hemmesi. “Shorewall” diwar gorag enjamynyň özüne öz zonasy hökmünde garaýandygyny we $FW atly üýtgeýjide saklaýandygyny bellemelidiris. Bu üýtgeýjini konfigurasiýa faýllarynyň galan böleginde görersiňiz.

“/ Etc/shorewall/zones” faýly özüni düşündirýär. Sizde arassa zona (internet bilen ýüzbe-ýüz interfeýs), ýerli zona (LAN ýüzbe-ýüz interfeýs) we hemme zat bar.

Bu gurnama aşakdakylardan ýüz öwürýär:

  1. localerli zonadan (LAN) arassa zona (Internet) çenli ähli baglanyşyk isleglerine rugsat berýär.
  2. Aragatnaşyk haýyşlaryny net zonadan gorag diwaryna we LAN-a taşlaýar
  3. Beýleki haýyşlaryň hemmesini ret edýär we hasaba alýar.

LOG LEVEL biti Apache, MySQL ýa-da başga-da birnäçe FOSS programmalary bilen dolandyran her bir adama tanyş bolmaly. Bu ýagdaýda, Shorewall-a hasaba alyş maglumat derejesini ulanmagy maslahat berýäris.

Gorag diwaryňyzy LAN-dan dolandyrmak üçin elýeterli etmek isleseňiz, “/ etc/shorewall/policy” faýlyňyza aşakdaky setirleri goşup bilersiňiz.

#SOURCE		DEST	POLICY		LOG		LEVEL		LIMIT:BURST
loc			$FW		ACCEPT
$FW			loc		ACCEPT

Indi sebitlerimiz we syýasatymyz kesgitlenenden soň, interfeýslerimizi düzmeli. Muny/etc/shorewall/interfeýs faýlyny redaktirlemek arkaly edýärsiňiz.

Bu ýerde, internet bilen ýüzbe-ýüz bolýan interfeýsimizi net zona et0 hökmünde belledik. LAN tarapymyzda, beýleki interfeýsi, et1-i ýerli zona belledik. Konfigurasiýaňyzy dogry işletmek üçin bu faýly sazlaň.

Bu interfeýsleriň ikisine-de ýerleşdirip boljak dürli wariantlar giňdir we adam sahypasynda jikme-jik düşündirilýär.

$ man shorewall-interfaces

Käbirleriniň çalt gaçmagy aşakdakylar:

  1. nosmurfs - çeşme hökmünde ýaýlym salgysy bolan süzgüç paketleri.
  2. logmartians - mümkin bolmadyk çeşme salgysy bolan paketleri hasaba alyň.
  3. routefilter - zaýalanmaga garşy ýadro marşruty süzgüç.

Elbetde, indi ulgamymyz goragly bolansoň, etmeli zatlarymyzy gazanmak üçin käbir baglanyşyklara rugsat berilmeli. Bulary “/ etc/shorewall/rules” düzgünler faýlynda kesgitleýärsiňiz.

Bu faýl ilki bilen sütünleriň bir-birine gabat gelýändigi sebäpli bulaşyk görünýär, ýöne sözbaşylar gaty öz-özünden düşündirilýär. Ilki bilen, ýerine ýetirmek isleýän zadyňyzy beýan edýän ACTION sütüni bar.

Ondan soň, paketiň dörän zonasyny kesgitleýän SOURCE sözbaşy bar. Soň bolsa, barjak ýeriňiziň zonasy ýa-da IP adresi bolan DEST, ýa-da barmaly ýeriňiz bar. Mysal ulanalyň.

192.168.1.25 IP adresi bilen enjamdaky gorag diwaryňyzyň aňyrsynda SSH serwerini işletmek isleýärsiňiz öýdýän. Diňe diwar diwaryňyzda port açmaly bolman, eýsem diwar diwaryna 22-nji porta gelýän islendik traffigiň 192.168.1.25 belgili enjamda ugrukdyrylmalydygyny aýtmaly bolarsyňyz.

Bu Port Forwarding ady bilen bellidir. Firewall/marşrutizatorlaryň köpüsinde umumy aýratynlyk. “/ Etc/shorewall/rules” -da muny şuňa meňzeş setir goşmak bilen ýerine ýetirerdiňiz:

SSH(DNAT)	net		loc:192.168.1.25

Oveokarda, net zonadan gorag diwaryna gelýän islendik SSH niýetlenen paketleri 192.168.1.25 salgysy bolan enjamda 22-nji porta ugrukdyrmalydygyny kesgitledik.

Muňa Tor salgysynyň terjimesi ýa-da NAT diýilýär.\D diňe Şrewall-a munuň niýetlenen salgy üçin NATdygyny aýdýar.

Munuň işlemegi üçin ýadrosyňyzda NAT goldawy açyk bolmaly. Eger size NAT gerek bolsa we ýok bolsa, Debian ýadrosyny gaýtadan düzmek boýunça okuwymy görüň.

Salgylanma baglanyşyklary

Shorewall Baş sahypa

Indiki makalada has ösen mowzuklaryň üstünden bararys, ýöne şu wagt başlamak üçin bu ýerde köp zat bolmaly. Hemişe bolşy ýaly has çuňňur düşünmek üçin adam sahypalaryna göz aýlaň.