• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Introducció a Shorewall
 

Introducció a Shorewall

on

  • 149 views

Introducció al gestor de firewall Shorewall per als sudoers-barcelona (4/12/2012)

Introducció al gestor de firewall Shorewall per als sudoers-barcelona (4/12/2012)

Statistics

Views

Total Views
149
Views on SlideShare
149
Embed Views
0

Actions

Likes
0
Downloads
5
Comments
0

0 Embeds 0

No embeds

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Introducció a Shorewall Introducció a Shorewall Presentation Transcript

    • Sudoers Barcelona4 de desembre de 2012
    • Què és shorewall?O Gateway/firewall configuration made easyO Més ‘human-readable’ iptables
    • ConfiguracióO Dividida en diferents fitxersO Defineix l’organització i les reglesO Per començar -> /usr/share/doc/shorewall/examples/ one-interface
    • Organitzacióeth0 eth1net prod pre dev 10.10.15.255 10.10.16.255 10.10.17.255
    • InterfacesO Una linia per cada interfície del servidor#ZONE INTERFACE BROADCAST OPTIONSnet eth0 99.258.27.255 blacklistprod eth1 10.10.15.255 dhcppre eth1 10.10.16.255 dhcpdev eth1 10.10.17.255 dhcp
    • ZonesO Defineix les zones de les xarxesO Més d’una zona per interficie#ZONE TYPE OPTIONS IN OUT# OPTIONS OPTIONSfw firewallnet ipv4prod ipv4pre ipv4dev ipv4
    • HostsO Defineix els hosts de cada zona#ZONE HOST(S) OPTIONSprod eth1:10.10.15.0/24pre eth1:10.10.16.0/24dev eth1:10.10.17.0/24
    • RulesO S’avaluen en ordre d’aparicióO Regles diferents segons estat: ESTABLISHED, RELATED, NEWO ESTABLISHED i RELATED tenen ACCEPT per defecte
    • Rules#ACTION SOURCE DEST PROTO DEST SOURCE ORIGINAL# PORT PORT DESTSECTION NEWACCEPT prod net TCP 80ACCEPT pre prod - 22ACCEPT prod net - 123ACCEPT net:324.10.51.2 pre TCP 22DNAT net pre:10.10.16.10 - - - 345.29.59.18
    • PolicyO Si una connexió no fa match a cap regla…#SOURCE DEST POLICY LOG# LEVELdev pre ACCEPTfw prod ACCEPTall all REJECT $LOG
    • Útils - Paramsrules:ACCEPT net:324.10.51.2 pre TCP 22params:CLIENT=324.10.51.2rules:ACCEPT net:$CLIENT pre TCP 22
    • Útils - Macros# /usr/share/shorewall/macro.DNS## This macro handles DNS traffic.###########################################################ACTION SOURCE DEST PROTO DEST SOURCE ORIGINAL RATE USER/# PORT PORT(S) DEST LIMIT GROUPPARAM - - udp 53PARAM - - tcp 53#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE
    • Útils - Macros# /usr/share/shorewall/macro.HTTP## This macro handles plaintext HTTP (WWW) traffic.##########################################################ACTION SOURCE DEST PROTO DEST SOURCE ORIGINAL RATE USER/# PORT PORT(S) DEST LIMIT GROUPPARAM - - tcp 80#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE
    • Útils - Macros#ACTION SOURCE DEST PROTO DEST# PORTHTTP/ACCEPT net prodSSH/ACCEPT net:$ADMIN allSMTP/ACCEPT net prod
    • Útils - MacrosO SMTP, SMTPS, IMAP, IMAPS, POP3, POP3SO MySQL, PostgreSQLO NTP, DNS, WhoisO SSH, FTP, Telnet, SNMP, Rsync, RDPO ICQ, Jabberd, JabberPlain, JabberSecureO HTTP, HTTPSO CVS, SVNO LDAP, BitTorrent, SMBO I les que es vulguin…
    • Útils - blacklistO Cal indicar-ho al fitxer interfaces (options)O Opcions: DROP (default), REJECT#ADDRESS/SUBNET PROTOCOL PORT355.24.99.212
    • Útils - stoppedrulesO Defineix les regles que quedaran actives quan shorewall estigui aturat o s’estigui reiniciant#ACTION SOURCE DEST PROTO DEST SOURCE ORIGINAL# PORT PORT DESTSSH/ACCEPT net:$ADMIN prod,pre,dev
    • FuncionamentO shorewall checkO shorewall start/stop/restartO shorewall clearO Log per defecte a syslogO iptables -L