Upload
dawnlua
View
136
Download
2
Tags:
Embed Size (px)
Citation preview
Sudoers Barcelona
4 de desembre de 2012
Què és shorewall?
O Gateway/firewall configuration made easy
O Més ‘human-readable’ iptables
Configuració
O Dividida en diferents fitxers
O Defineix l’organització i les regles
O Per començar ->
/usr/share/doc/shorewall/examples/one-interface
Organització
eth0
net
eth1
prod
10.10.15.255
pre
10.10.16.255
dev
10.10.17.255
Interfaces
O Una linia per cada interfície del servidor
#ZONE INTERFACE BROADCAST OPTIONS
net eth0 99.258.27.255 blacklist
prod eth1 10.10.15.255 dhcp
pre eth1 10.10.16.255 dhcp
dev eth1 10.10.17.255 dhcp
Zones
O Defineix les zones de les xarxes
O Més d’una zona per interficie
#ZONE TYPE OPTIONS IN OUT
# OPTIONS OPTIONS
fw firewall
net ipv4
prod ipv4
pre ipv4
dev ipv4
Hosts
O Defineix els hosts de cada zona
#ZONE HOST(S) OPTIONS
prod eth1:10.10.15.0/24
pre eth1:10.10.16.0/24
dev eth1:10.10.17.0/24
Rules
O S’avaluen en ordre d’aparició
O Regles diferents segons estat: ESTABLISHED,
RELATED, NEW
O ESTABLISHED i RELATED tenen ACCEPT per
defecte
Rules #ACTION SOURCE DEST PROTO DEST SOURCE ORIGINAL
# PORT PORT DEST
SECTION NEW
ACCEPT prod net TCP 80
ACCEPT pre prod - 22
ACCEPT prod net - 123
ACCEPT net:324.10.51.2 pre TCP 22
DNAT net pre:10.10.16.10 - - - 345.29.59.18
Policy
O Si una connexió no fa match a cap regla…
#SOURCE DEST POLICY LOG
# LEVEL
dev pre ACCEPT
fw prod ACCEPT
all all REJECT $LOG
Útils - Params
rules:
ACCEPT net:324.10.51.2 pre TCP 22
params:
CLIENT=324.10.51.2
rules:
ACCEPT net:$CLIENT pre TCP 22
Útils - Macros # /usr/share/shorewall/macro.DNS
#
# This macro handles DNS traffic.
#
##########################################################ACTION SOURCE DEST PROTO DEST SOURCE ORIGINAL RATE USER/
# PORT PORT(S) DEST LIMIT GROUP
PARAM - - udp 53
PARAM - - tcp 53
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE
Útils - Macros # /usr/share/shorewall/macro.HTTP
#
# This macro handles plaintext HTTP (WWW) traffic.
##########################################################ACTION SOURCE DEST PROTO DEST SOURCE ORIGINAL RATE USER/
# PORT PORT(S) DEST LIMIT GROUP
PARAM - - tcp 80
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE
Útils - Macros #ACTION SOURCE DEST PROTO DEST
# PORT
HTTP/ACCEPT net prod
SSH/ACCEPT net:$ADMIN all
SMTP/ACCEPT net prod
Útils - Macros O SMTP, SMTPS, IMAP, IMAPS, POP3, POP3S
O MySQL, PostgreSQL
O NTP, DNS, Whois
O SSH, FTP, Telnet, SNMP, Rsync, RDP
O ICQ, Jabberd, JabberPlain, JabberSecure
O HTTP, HTTPS
O CVS, SVN
O LDAP, BitTorrent, SMB
O I les que es vulguin…
Útils - blacklist O Cal indicar-ho al fitxer interfaces (options)
O Opcions: DROP (default), REJECT
#ADDRESS/SUBNET PROTOCOL PORT
355.24.99.212
Útils - stoppedrules
O Defineix les regles que quedaran actives
quan shorewall estigui aturat o s’estigui
reiniciant
#ACTION SOURCE DEST PROTO DEST SOURCE ORIGINAL
# PORT PORT DEST
SSH/ACCEPT net:$ADMIN prod,pre,dev
Funcionament
O shorewall check
O shorewall start/stop/restart
O shorewall clear
O Log per defecte a syslog
O iptables -L