• Like
Introducció a Shorewall
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

Introducció a Shorewall

  • 100 views
Published

Introducció al gestor de firewall Shorewall per als sudoers-barcelona (4/12/2012)

Introducció al gestor de firewall Shorewall per als sudoers-barcelona (4/12/2012)

Published in Technology
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
100
On SlideShare
0
From Embeds
0
Number of Embeds
0

Actions

Shares
Downloads
5
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide

Transcript

  • 1. Sudoers Barcelona4 de desembre de 2012
  • 2. Què és shorewall?O Gateway/firewall configuration made easyO Més ‘human-readable’ iptables
  • 3. ConfiguracióO Dividida en diferents fitxersO Defineix l’organització i les reglesO Per començar -> /usr/share/doc/shorewall/examples/ one-interface
  • 4. Organitzacióeth0 eth1net prod pre dev 10.10.15.255 10.10.16.255 10.10.17.255
  • 5. InterfacesO Una linia per cada interfície del servidor#ZONE INTERFACE BROADCAST OPTIONSnet eth0 99.258.27.255 blacklistprod eth1 10.10.15.255 dhcppre eth1 10.10.16.255 dhcpdev eth1 10.10.17.255 dhcp
  • 6. ZonesO Defineix les zones de les xarxesO Més d’una zona per interficie#ZONE TYPE OPTIONS IN OUT# OPTIONS OPTIONSfw firewallnet ipv4prod ipv4pre ipv4dev ipv4
  • 7. HostsO Defineix els hosts de cada zona#ZONE HOST(S) OPTIONSprod eth1:10.10.15.0/24pre eth1:10.10.16.0/24dev eth1:10.10.17.0/24
  • 8. RulesO S’avaluen en ordre d’aparicióO Regles diferents segons estat: ESTABLISHED, RELATED, NEWO ESTABLISHED i RELATED tenen ACCEPT per defecte
  • 9. Rules#ACTION SOURCE DEST PROTO DEST SOURCE ORIGINAL# PORT PORT DESTSECTION NEWACCEPT prod net TCP 80ACCEPT pre prod - 22ACCEPT prod net - 123ACCEPT net:324.10.51.2 pre TCP 22DNAT net pre:10.10.16.10 - - - 345.29.59.18
  • 10. PolicyO Si una connexió no fa match a cap regla…#SOURCE DEST POLICY LOG# LEVELdev pre ACCEPTfw prod ACCEPTall all REJECT $LOG
  • 11. Útils - Paramsrules:ACCEPT net:324.10.51.2 pre TCP 22params:CLIENT=324.10.51.2rules:ACCEPT net:$CLIENT pre TCP 22
  • 12. Útils - Macros# /usr/share/shorewall/macro.DNS## This macro handles DNS traffic.###########################################################ACTION SOURCE DEST PROTO DEST SOURCE ORIGINAL RATE USER/# PORT PORT(S) DEST LIMIT GROUPPARAM - - udp 53PARAM - - tcp 53#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE
  • 13. Útils - Macros# /usr/share/shorewall/macro.HTTP## This macro handles plaintext HTTP (WWW) traffic.##########################################################ACTION SOURCE DEST PROTO DEST SOURCE ORIGINAL RATE USER/# PORT PORT(S) DEST LIMIT GROUPPARAM - - tcp 80#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE
  • 14. Útils - Macros#ACTION SOURCE DEST PROTO DEST# PORTHTTP/ACCEPT net prodSSH/ACCEPT net:$ADMIN allSMTP/ACCEPT net prod
  • 15. Útils - MacrosO SMTP, SMTPS, IMAP, IMAPS, POP3, POP3SO MySQL, PostgreSQLO NTP, DNS, WhoisO SSH, FTP, Telnet, SNMP, Rsync, RDPO ICQ, Jabberd, JabberPlain, JabberSecureO HTTP, HTTPSO CVS, SVNO LDAP, BitTorrent, SMBO I les que es vulguin…
  • 16. Útils - blacklistO Cal indicar-ho al fitxer interfaces (options)O Opcions: DROP (default), REJECT#ADDRESS/SUBNET PROTOCOL PORT355.24.99.212
  • 17. Útils - stoppedrulesO Defineix les regles que quedaran actives quan shorewall estigui aturat o s’estigui reiniciant#ACTION SOURCE DEST PROTO DEST SOURCE ORIGINAL# PORT PORT DESTSSH/ACCEPT net:$ADMIN prod,pre,dev
  • 18. FuncionamentO shorewall checkO shorewall start/stop/restartO shorewall clearO Log per defecte a syslogO iptables -L