introducció a shorewall
TRANSCRIPT
![Page 1: Introducció a Shorewall](https://reader033.vdocuments.us/reader033/viewer/2022052400/559f460f1a28ab610b8b458e/html5/thumbnails/1.jpg)
Sudoers Barcelona
4 de desembre de 2012
![Page 2: Introducció a Shorewall](https://reader033.vdocuments.us/reader033/viewer/2022052400/559f460f1a28ab610b8b458e/html5/thumbnails/2.jpg)
Què és shorewall?
O Gateway/firewall configuration made easy
O Més ‘human-readable’ iptables
![Page 3: Introducció a Shorewall](https://reader033.vdocuments.us/reader033/viewer/2022052400/559f460f1a28ab610b8b458e/html5/thumbnails/3.jpg)
Configuració
O Dividida en diferents fitxers
O Defineix l’organització i les regles
O Per començar ->
/usr/share/doc/shorewall/examples/one-interface
![Page 4: Introducció a Shorewall](https://reader033.vdocuments.us/reader033/viewer/2022052400/559f460f1a28ab610b8b458e/html5/thumbnails/4.jpg)
Organització
eth0
net
eth1
prod
10.10.15.255
pre
10.10.16.255
dev
10.10.17.255
![Page 5: Introducció a Shorewall](https://reader033.vdocuments.us/reader033/viewer/2022052400/559f460f1a28ab610b8b458e/html5/thumbnails/5.jpg)
Interfaces
O Una linia per cada interfície del servidor
#ZONE INTERFACE BROADCAST OPTIONS
net eth0 99.258.27.255 blacklist
prod eth1 10.10.15.255 dhcp
pre eth1 10.10.16.255 dhcp
dev eth1 10.10.17.255 dhcp
![Page 6: Introducció a Shorewall](https://reader033.vdocuments.us/reader033/viewer/2022052400/559f460f1a28ab610b8b458e/html5/thumbnails/6.jpg)
Zones
O Defineix les zones de les xarxes
O Més d’una zona per interficie
#ZONE TYPE OPTIONS IN OUT
# OPTIONS OPTIONS
fw firewall
net ipv4
prod ipv4
pre ipv4
dev ipv4
![Page 7: Introducció a Shorewall](https://reader033.vdocuments.us/reader033/viewer/2022052400/559f460f1a28ab610b8b458e/html5/thumbnails/7.jpg)
Hosts
O Defineix els hosts de cada zona
#ZONE HOST(S) OPTIONS
prod eth1:10.10.15.0/24
pre eth1:10.10.16.0/24
dev eth1:10.10.17.0/24
![Page 8: Introducció a Shorewall](https://reader033.vdocuments.us/reader033/viewer/2022052400/559f460f1a28ab610b8b458e/html5/thumbnails/8.jpg)
Rules
O S’avaluen en ordre d’aparició
O Regles diferents segons estat: ESTABLISHED,
RELATED, NEW
O ESTABLISHED i RELATED tenen ACCEPT per
defecte
![Page 9: Introducció a Shorewall](https://reader033.vdocuments.us/reader033/viewer/2022052400/559f460f1a28ab610b8b458e/html5/thumbnails/9.jpg)
Rules #ACTION SOURCE DEST PROTO DEST SOURCE ORIGINAL
# PORT PORT DEST
SECTION NEW
ACCEPT prod net TCP 80
ACCEPT pre prod - 22
ACCEPT prod net - 123
ACCEPT net:324.10.51.2 pre TCP 22
DNAT net pre:10.10.16.10 - - - 345.29.59.18
![Page 10: Introducció a Shorewall](https://reader033.vdocuments.us/reader033/viewer/2022052400/559f460f1a28ab610b8b458e/html5/thumbnails/10.jpg)
Policy
O Si una connexió no fa match a cap regla…
#SOURCE DEST POLICY LOG
# LEVEL
dev pre ACCEPT
fw prod ACCEPT
all all REJECT $LOG
![Page 11: Introducció a Shorewall](https://reader033.vdocuments.us/reader033/viewer/2022052400/559f460f1a28ab610b8b458e/html5/thumbnails/11.jpg)
Útils - Params
rules:
ACCEPT net:324.10.51.2 pre TCP 22
params:
CLIENT=324.10.51.2
rules:
ACCEPT net:$CLIENT pre TCP 22
![Page 12: Introducció a Shorewall](https://reader033.vdocuments.us/reader033/viewer/2022052400/559f460f1a28ab610b8b458e/html5/thumbnails/12.jpg)
Útils - Macros # /usr/share/shorewall/macro.DNS
#
# This macro handles DNS traffic.
#
##########################################################ACTION SOURCE DEST PROTO DEST SOURCE ORIGINAL RATE USER/
# PORT PORT(S) DEST LIMIT GROUP
PARAM - - udp 53
PARAM - - tcp 53
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE
![Page 13: Introducció a Shorewall](https://reader033.vdocuments.us/reader033/viewer/2022052400/559f460f1a28ab610b8b458e/html5/thumbnails/13.jpg)
Útils - Macros # /usr/share/shorewall/macro.HTTP
#
# This macro handles plaintext HTTP (WWW) traffic.
##########################################################ACTION SOURCE DEST PROTO DEST SOURCE ORIGINAL RATE USER/
# PORT PORT(S) DEST LIMIT GROUP
PARAM - - tcp 80
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE
![Page 14: Introducció a Shorewall](https://reader033.vdocuments.us/reader033/viewer/2022052400/559f460f1a28ab610b8b458e/html5/thumbnails/14.jpg)
Útils - Macros #ACTION SOURCE DEST PROTO DEST
# PORT
HTTP/ACCEPT net prod
SSH/ACCEPT net:$ADMIN all
SMTP/ACCEPT net prod
![Page 15: Introducció a Shorewall](https://reader033.vdocuments.us/reader033/viewer/2022052400/559f460f1a28ab610b8b458e/html5/thumbnails/15.jpg)
Útils - Macros O SMTP, SMTPS, IMAP, IMAPS, POP3, POP3S
O MySQL, PostgreSQL
O NTP, DNS, Whois
O SSH, FTP, Telnet, SNMP, Rsync, RDP
O ICQ, Jabberd, JabberPlain, JabberSecure
O HTTP, HTTPS
O CVS, SVN
O LDAP, BitTorrent, SMB
O I les que es vulguin…
![Page 16: Introducció a Shorewall](https://reader033.vdocuments.us/reader033/viewer/2022052400/559f460f1a28ab610b8b458e/html5/thumbnails/16.jpg)
Útils - blacklist O Cal indicar-ho al fitxer interfaces (options)
O Opcions: DROP (default), REJECT
#ADDRESS/SUBNET PROTOCOL PORT
355.24.99.212
![Page 17: Introducció a Shorewall](https://reader033.vdocuments.us/reader033/viewer/2022052400/559f460f1a28ab610b8b458e/html5/thumbnails/17.jpg)
Útils - stoppedrules
O Defineix les regles que quedaran actives
quan shorewall estigui aturat o s’estigui
reiniciant
#ACTION SOURCE DEST PROTO DEST SOURCE ORIGINAL
# PORT PORT DEST
SSH/ACCEPT net:$ADMIN prod,pre,dev
![Page 18: Introducció a Shorewall](https://reader033.vdocuments.us/reader033/viewer/2022052400/559f460f1a28ab610b8b458e/html5/thumbnails/18.jpg)
Funcionament
O shorewall check
O shorewall start/stop/restart
O shorewall clear
O Log per defecte a syslog
O iptables -L