注册 登录  
 加关注
   显示下一条  |  关闭
温馨提示!由于新浪微博认证机制调整,您的新浪微博帐号绑定已过期,请重新绑定!立即重新绑定新浪微博》  |  关闭

itoedr的it学苑

记录从IT文盲学到专家的历程

 
 
 

日志

 
 

专业防火墙ShoreWall安装设置  

2013-06-18 05:31:41|  分类: xtables应用 |  标签: |举报 |字号 订阅

  下载LOFTER 我的照片书  |

这里我们采用 shorewall 作为服务器的专业防火墙,这也是 Ubuntu 推荐的防火墙。

本服务器有一块网卡通过交换机和ADSL相连接,同时交换机上连接其它电脑。 如果有两块网卡,其中一块接ADSL,请修改 eth0 为 你接交换机的网卡,例如 eth1。

  • 安装防火墙
sudo apt-get install shorewall
  • 复制配置文件
sudo cp /usr/share/doc/shorewall/default-config/modules /etc/shorewall/
sudo cp /usr/share/doc/shorewall/default-config/policy /etc/shorewall/
sudo cp /usr/share/doc/shorewall/default-config/nat /etc/shorewall/
sudo cp /usr/share/doc/shorewall/default-config/zones /etc/shorewall/
sudo cp /usr/share/doc/shorewall/default-config/maclist /etc/shorewall/
sudo cp /usr/share/doc/shorewall/default-config/blacklist /etc/shorewall/
sudo gunzip -c /usr/share/doc/shorewall/default-config/interfaces.gz > /etc/shorewall/interfaces
sudo gunzip -c /usr/share/doc/shorewall/default-config/rules.gz > /etc/shorewall/rules
sudo gunzip -c /usr/share/doc/shorewall/default-config/hosts.gz > /etc/shorewall/hosts
sudo gunzip -c /usr/share/doc/shorewall/default-config/masq.gz > /etc/shorewall/masq
  • 配置网卡

假设:你的网卡是 eth0 ,通过 ppp0 上 Internet.

sudo gedit /etc/shorewall/interfaces

在倒数第二行,也就是在 “#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE” 这一行之前添加:

net    ppp0        detect        dhcp,routefilter,norfc1918,tcpflags
loc    eth0        detect        tcpflags
  • 配置网络别名
sudo gedit /etc/shorewall/zones

在倒数第二行,也就是在 “#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE” 这一行之前添加:

net	Net		Internet
loc	Local		Local Networks
  • 配置IP伪装,也就是透明代理
sudo gedit /etc/shorewall/masq

在倒数第二行,也就是在 “#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE” 这一行之前添加:

ppp0			eth0
  • 配置防火墙规则
sudo gedit /etc/shorewall/rules

在倒数第二行,也就是在 “#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE” 这一行之前添加:

#
#	允许 DNS 从 防火墙 连接到 Internet
#
AllowDNS	fw		net
#
#	允许本地网络可以使用 SSH 来管理服务器
#
AllowSSH	loc		fw
#
#	允许 Ping 到防火墙和允许防火墙 Ping 其它网络
#
AllowPing	loc		fw
AllowPing	net		fw
AllowPing	fw		loc
AllowPing	fw		net
#
#	允许 Internet 访问防火墙上的 WEB 服务
#
AllowWeb	net		fw
#
#	允许 Internet 访问防火墙上的 FTP 服务
#
AllowFTP	net		fw
#
#	允许 Internet 访问防火墙上的 邮件 服务
#
AllowSMTP       net		fw
AllowIMAP       net		fw
#
#	允许本地网络可以访问 Internet
#
AllowWeb	loc		net
#
#	允许本地网络可以收发邮件
#
AllowSMTP	loc		net
AllowIMAP	loc		net
AllowPOP3	loc		net
#
#	允许本地网络使用 FTP 到 Internet
#
AllowFTP	loc		net
#
#	允许本地网络从 Internet 查询 DNS 
#
AllowDNS	loc		net
#
#	允许本地网络使用 MSN
#
ACCEPT          loc     	net     tcp     1863
ACCEPT          loc     	net     tcp     443
ACCEPT          loc     	net:gateway.messenger.hotmail.com all
#
#	将WEB访问重新定向到 3128 ,通过squid完成访问 ,访问服务器地址 192.168.0.1 除外。
#
#REDIRECT        loc     3128    tcp     www     - 	!192.168.0.1
  • 修改 shorewall.conf 自动开启 IP 转发
sudo gedit /etc/shorewall/shorewall.conf

查找到:

IP_FORWARDING=Keep

修改为:

IP_FORWARDING=On
  • 保存关闭文件
  • 修改 /etc/default/shorewall 自动运行防火墙
sudo gedit /etc/default/shorewall

查找到:

startup=0

修改为:

startup=1
  • 启动防火墙
sudo shorewall start
  • 至此防火墙配置完成。
  评论这张
 
阅读(70)| 评论(0)
推荐 转载

历史上的今天

在LOFTER的更多文章

评论

<#--最新日志,群博日志--> <#--推荐日志--> <#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇,下一篇--> <#-- 热度 --> <#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->
 
 
 
 
 
 
 
 
 
 
 
 
 
 

页脚

网易公司版权所有 ©1997-2017