|
| |
Shoreline Firewall (Shorewall)
www.shorewall.net.
Administration : Firewalling :
Shorewall : Übersicht
18-Dec-2004/09-Jan-07
Übersicht
 Die Shoreline Firewall (kurz: Shorewall) ist ein auf
Netfilter bzw.
Iptables basierendes Frontend für
den Aufbau einer Firewall von Thomas M. Eastep; das Paket steht unter
der GNU GPL, die Dokumentation unter der GNU FDL.
Shorewall ist kein
Daemon; die Skripts konfigurieren
Netfilter und haben ihre Schuldigkeit dann getan; mit den üblichen
Parametern wie start, stop oder restart nimmt man
Veränderungen am Status von Netfilter
vor, die Shorewall nur »durchreicht«. Shorewall ist extrem flexibel;
nahezu alle Parameter können modifiziert werden; es wird dadurch
möglich, eine relativ sichere Firewall mit einer Handvoll
übersichtlicher Konfigurationsdateien aufzubauen, ohne auf ein hohes Maß
an Anpassungsfähigkeit an individuelle Wünsche verzichten zu müssen.
Installation
Das Paket besteht aus einer Reihe von
Skripts, die unter
Debian
GNU/Linux mit einem simplen apt-get
install shorewall installiert werden; Die Dokumentation bekommt
man unter Debian mit shorewall-doc und ggf. noch ein
Webmin-Frontend mit
webmin-shorewall. Für andere Plattformen stehen auch
RPM-Pakete und Tarballs zur Verfügung:
Anschließend konfiguriert
man die Firewall über eine Reihe von ausführlich kommentierten
Konfigurationsdateien:
- Konfigurationsdateien:
/etc/shorewall/
- Definierte Aktionen:
/usr/share/shorewall/
- Dokumentation:
/usr/share/doc/shorewall/ und man shorewall
Im Web finden sich ausführliche ergänzende Installations- und
Konfigurationshinweise:
Natürlich stehen auch einige Mailinglisten bereit:
Konfiguration
Die Konfiguration von Shorewall selbst erfolgt in der
Hauptkonfigurationsdatei
/etc/shorewall/shorewall.conf; hier wird eingestellt, was und wo
Shorewall protokolliert, wo sich die Shorewall-Skripts befinden usw.
Daneben werden auch noch einige wichtige Optionen aktiviert bzw.
deaktiviert (z.B. IP Forwarding, Traffic Shaping, MSS
Clamping u.a.).
Wie bei jeder Firewall muss man sich überlegen, welche grundlegende
Policy man verfolgen will, welche Internet-Dienste an welcher Stelle
hinter der Firewall
verfügbar sein sollen und welche Protokolle und Ports dafür benötigt
werden.
Shorewall kennt grundsätzlich bis zu vier Zonen und kann von Hause
aus bis zu drei Interfaces (/etc/shorewall/interfaces) handhaben:
| Zone |
Schnittstellen |
Beschreibung |
| fw |
1-3 |
Die Fiewall
selbst bildet eine eigene Zone. |
| net |
1-2 |
Das Internet. |
| loc |
1-2 |
Das lokale
Netzwerk (LAN). |
| dmz |
3 |
Die
demilitarisierte Zone (DMZ). |
Die Zone fw steht immer zur Verfügung, loc und net
bei ein oder zwei Netzwerk- Interfaces sowie dmz bei drei
Netzwerk- Interfaces. Soll der Rechner als Gateway arbeiten, muss man
IP_FORWARDING aktivieren; bildet der Shorewall-Rechner den Endpunkt der
Verbindung oder soll der Datenverkehr über Proxies laufen, muss die
Weiterleitung deaktiviert werden.
In /etc/shorewall/policy
definiert man, wie die grundlegenden Sicherheitsrichtlinien gehandhabt
werden; standardmäßig ist Shorewall so konfiguriert, dass
- alle Verbindungen aus dem LAN ins Internet erlaubt sind,
- alle Verbindungen aus dem Internet auf das LAN ignoriert, aber
protokolliert werden (syslog level KERNEL.INFO) und
- alle anderen Verbindungsanfragen zurückgewiesen und
protokolliert werde (syslog level KERNEL.INFO).
Die Konfigurationsdateien sind als übersichtliche Tabellen aufgebaut:
#SOURCE DEST POLICY LOG LEVEL LIMIT:BURST
loc net ACCEPT
net all DROP info
all all REJECT info
In /etc/shorewall/rules passt man die Regeln nun im
Detail an. Daneben existieren noch verschiedene andere
Konfigurationsdateien (actions, maclist, nat, tcrules, interfaces, masq, params, rfc1918 und zones), die je nach Bedarf angepasst werden müssen.
Die ausgezeichnete Dokumentation hilft dabei mit einigen detailliert
ausgeführten Anwendungsszenarien. Wichtige Dateien sind:
- zones: Definition der Zonen, also was als Firewall (fw),
lokales Netz (loc) oder DMZ (dmz) bewhandelt wird;
- interfaces: Definition, welche Netzwerkkarten welcher
Zone zugeordnet sind;
- masq: Definition von Dynamic NAT (»Masquerading«)
und Source NAT (SNAT)
Beim Starten zeigt Shorewall recht präzise an, in welchen Reihenfolge
die Konfigurationsdateien abgearbeitet werden:
firewall:# shorewall start
Loading /usr/share/shorewall/functions...
Processing /etc/shorewall/params ...
Processing /etc/shorewall/shorewall.conf...
Loading Modules...
Restarting Shorewall...
Initializing...
Shorewall has detected the following iptables/netfilter
capabilities:
NAT: Available
Packet Mangling: Available
Multi-port Match: Available
Connection Tracking Match: Available
Determining Zones...
Zones: net loc
Validating interfaces file...
Validating hosts file...
Validating Policy file...
Determining Hosts in Zones...
Net Zone: ppp0:0.0.0.0/0
Local Zone: eth0:0.0.0.0/0
Deleting user chains...
Restoring dynamic rules...
Creating Interface Chains...
Configuring Proxy ARP
Setting up NAT...
Setting up NETMAP...
Adding Common Rules
Adding rules for DHCP
Enabling RFC1918 Filtering
Setting up Kernel Route Filtering...
IP Forwarding Enabled
Pre-processing Actions...
...
Wer über eine statische IP-Adresse verfügt, kann diese mit der Datei
/etc/shorewall/nat konfigurieren; bei einer dynamischen IP-Adresse
geschieht dies dagegen mit DNAT in der Datei /etc/shorewall/rules.
Daneben besteht auch die Möglichkeit der Konfiguration über Proxy ARP.
Betrieb und Wartung
In der Standardeinstellung schreibt Shorewall seine Meldungen nach
/var/log/messages; diese Meldungen sollte man eine Weile
sorgfältig beobachten. Näheres zum
Logging von Shorewall findet sich unter
Shorewall unterstützt alle Syslog-Level:
7 - debug (Debug-level messages)
6 - info (Informational)
5 - notice (Normal but significant Condition)
4 - warning (Warning Condition)
3 - err (Error Condition)
2 - crit (Critical Conditions)
1 - alert (must be handled immediately)
0 - emerg (System is unusable)
Wer ausgefeiltere Möglichkeiten des Protokollierens haben will, kann
auch mit Ulogd oder Syslog-ng loggen lassen:
Zur strukturierten Auswertung von Logfiles stehen einige
Tools zur Analyse zur
Verfügung. Natürlich kann man sich als Hilfsmittel auch Tools wie
Fwlogwatch etc. installieren.
Netmarks
Shoreline Firewall,
www.shorewall.net.
Shorewall- Installation unter SuSE Linux 8.0,
www.eressa.de/linux/linux/shorewall2.html.
NetFilter,
www.netfilter.org.
Linux Advanced Routing and Traffic Control Howto,
ds9a.nl/lartc.
Traffic Shaping Howto,
www.tldp.org/HOWTO/Traffic-Control-HOWTO
Iproute,
ftp.inr.ac.ru/ip-routing.
Verzeichnis der Port-Nummern,
www.iana.org/assignments/port-numbers.
Verzeichnis bekannter Trojaner,
www.glocksoft.com/trojan_port.htm.
Netfilter log messages,
logi.cc/linux/netfilter-log-format.php3.
Anmerkungen
| |
 Shorewall: |
|
Name: Besucher.
Online: 9 aktive User.
|
| Login |
Logout
|
|
|
Benachrichtigen bei Änderungen: |
|
|
|
|
Debian GNU/Linux 3.1 »Sarge«,
mit Debian-Anwenderhandbuch.
DVD-ROM +
Bonus-DVD
 EUR
49,90
(versandkostenfrei)
|
Debian GNU/Linux Power Pack.
von
Peter H. Ganten und
Wulf Alex.
946 Seiten, zwei DVDs
EUR 69,95
(versandkostenfrei) |
|
Ubuntu: |
Ubuntu/Kubuntu 5.10,
mit Handbuch.
EUR
29,90
(versandkostenfrei)
|
|
SuSE
Linux: |
SUSE
Linux 10.0 deutsch.
von Novell
EUR
48,95
(versandkostenfrei)
|
SuSE
Linux 9.3 Professional
von Novell.
EUR
82,99
(versandkostenfrei)
|
SuSE
Linux 9.3 Professional Update.
von Novell
EUR 59,95
(versandkostenfrei) |
|
Red
Hat Linux: |
|
Red Hat Linux
Professional Workstation.
EUR 99,95
(versandkostenfrei)
|
Red Hat Linux 9 Personal.
Red Hat Linux 9 Professional.
ab EUR 39,99
(versandkostenfrei) |
|
 |
Thematisch verwandte Subsites:
Apple,
BSD,
Hardware,
Internet,
Microsoft Windows,
Networking,
Open Content,
Open Source & Free Software,
Politik,
Recht,
Safety,
Security,
Shopping,
Software,
The Tark,
Webworking,
Wissen. |
 |
|
|
Kefk Network :
GNU/Linux |
About |
Wiki.
