Shorewall a tvorba trusted interface

Michal

Shorewall a tvorba trusted interface
« kdy: 26. 10. 2011, 23:26:08 »
Zdravim kolegy, mam prosbu o pomoc se Shorewallem. Dostal jsem se ke stroji, kde jsem firewall nekonfiguroval sam. Osobne preferuji iptables ale bohuzel byl zde nasazeny Shorewall, ve kterem se nejsem schopny vyznat (ano vim, generuje iptables tak jako tak, nicmene stejne nechapu).

Je nejaka moznost vytvoreni trusted interface ? tedy sdelit mu aby se nezabyval napriklad portem eth1 a bylo mu jedno co odtamtud prijde a co se tam odkud posle ? laboruji s tim uz par hodin,ale bohuzel se mi nepodarilo shorewall presvedcit. Sitovka je UP, dokonce nmap na druhe strane vidi mac adresu ale vsechny porty filtrovane. Mel by jit minimalne ping a ssh.. prosim o pomoc
« Poslední změna: 27. 10. 2011, 10:12:13 od Petr Krčmář »


TKL

Re: Shorewall a tvorba trusted interface
« Odpověď #1 kdy: 27. 10. 2011, 10:44:47 »
Netřeba nad Shorewallem zoufat - je to výborný kousek sw.
To, co potřebujete, provedete nejjednodušeji pomocí /etc/shorewall/policy, kde se definují základní politiky firewallu a kde můžete Shorewallu říct , že má natvdro povolit provoz odněkud někam.
To, jaké interfacy a jaké zóny Shorewall používá najdete v /etc/shorewall/interfaces a /etc/shorewall/zones. Pravidla se nastavují v /etc/shorewall/rules (dle mého názoru mnohem jednodušeji a přehledněji, než pomocí čistých iptables - NO FLAME please :-) ).

Ono vůbec Shorewallem uděláte na jednom místě spoustu užitečných věcí, doporučuji mrknout na web projektu: http://shorewall.net/

Michal

Re: Shorewall a tvorba trusted interface
« Odpověď #2 kdy: 27. 10. 2011, 11:58:19 »
Tak diky za odpoved. Uznavam, po x hodinach jsem se v nem uz zacal orientovat a byl jsem presvedcen ze mam pravidla nastavena spravne. Take jsem mel, pes byl ale zakopany jinde. Nad nepouzivanym ethernet portem nekdo drive vytvoril pouzivany bridge pouze s timto jednim ifacem, sice presne nechapu proc, ale tam byl kamen urazu. Takze diky za reakci a hezky den..