Gibt es denn irgendjemand, der Shorewall nutzt und sich damit auch auskennt? :eek:

Gibt es denn irgendjemand, der Shorewall nutzt und sich damit auch auskennt? :eek:

Nein. Shorewall tauchte ganz plötzlich auf, niemand weiss woher, keiner benutzt es und auskennen tut sich damit kein Mensch.

Versuch's doch mal mit einer sinnvollen Frage, dann kommen vielleicht auch vernünftige Antworten. ;)

Nein. Shorewall tauchte ganz plötzlich auf, niemand weiss woher, keiner benutzt es und auskennen tut sich damit kein Mensch.

Versuch's doch mal mit einer sinnvollen Frage, dann kommen vielleicht auch vernünftige Antworten. ;)

Ich habe in den letzten 3 Wochen in 5 Foren eine zweistellige Anzahl von Fragen gepostet, ohne irgendwie weiterzukommen. Da auf die meisten Fragen keine Antwort kam, ich aber reichlich Zeit zum Posten aufgewendet habe wollte ich erst einmal sehen, ob überhaupt jemand Shorewall einsetzt. Bei den spärlichen Antworten war das Fazit "Shorewall ist zu umständlich, nimm lieber firestarter, guarddog oder kmyfirewall".

http://www.linuxforen.de/forums/showthread.php?t=145409&highlight=shorewall
Hallo
Ich habe Shorewall installiert. Scheint nach vielem Ausprobieren die Firewall zu sein, bei der ich bleibe.
Leider spreche ich kaum englisch. Deshalb nützt mir auch die sehr gute Dokumentation nicht viel. Aus dem gleichen Grund bin ich auch mit der Webmin GUI nicht so recht klar gekommen.
Aus diesem Grund poste ich mal meine Regeln. Mit ein bißchen Hilfe kommt dann vielleicht eine Beispielkonfiguration für andere heraus, die Shorewall nur einmal ausprobieren wollen.

################################################## #################################################
#RULES #
################################################## #################################################
# loc net lokales Netz -> internet ausgehend ???
# net loc internet -> lokales Netz eingehend ???
# net fw -> ???
# fw net -> ???
# loc fw Lokales Netz -> firewall ???
# fw loc firewall -> lokales Netz ???
# masq fw -> ???
# fw masq -> ???
#+++++++++++++++++++++++++++++++++++++++++++++++++ ++++++++++++++++++++++++++++++++++++++++++++++++++ ++++++++++++++++++++++++++++++++++++++++
# Hier fehlt mir das Verständnis für den Unterschied beispielsweise zwichen loc net und loc fw oder loc net und net fw . Daher wäre jeweils eine kürzere Erklärung nicht schlecht.
#+++++++++++++++++++++++++++++++++++++++++++++++++ ++++++++++++++++++++++++++++++++++++++++++++++++++ ++++++++++++++++++++++++++++++++++++++++
##############
#PORTBELEGUNG#
##############
# Port Protocll Dienst Beschreibung
# 20 tcp ftp-data File Transfer [Default Data]
# 21 tcp ftp File Transfer [Control]
# 23 udp telnet interaktives Arbeiten
# 25 tcp smtp Simple Mail Transfer
# 37 udp timeservice Zeitstempeldienst
# 53 tcp domain Domain Name Server (DNS)
# 53 udp domain Domain Name Server (DNS)
# 67 udp dhcp dynamische Internetnummernkonfiguration
# 68 udp dhcp dynamische Internetnummernkonfiguration
# 80 tcp http/www World Wide Web HTTP
# 109 tcp pop2 Post Office Protocol - Version 2
# 110 tcp pop3 Post Office Protocol - Version 3
# 119 tcp nntp Network News Transfer Protocol
# 123 udp ntp genauer Zeitstempeldienst
# 143 tcp imap Internet Message Access Protocol
# 137-139 tcp netbios/ip Windows-Shares
# 137-139 udp netbios/ip Windows-Shares
# 139 tcp netbios/ip Windows-Ereignisanzeige
# 177 udp xdmcp X Windows Ankündigungsdienst Linux
# 389 tcp ldap online Namensverzeichnis
# 443 tcp https http protocol over TLS/SSL
# 1024 udp
# 1214 tcp FastTrack (KaZaa)
# 2234 tcp soulseek
# 2242 tcp soulseek
# 6257 udp winmx napster opennap lopster
# 4662 tcp edonkey overnet emule amule xmule (4660-4670)
# 4666 udp edonkey overnet emule amule xmule
# 6000-6063tcp X11 X Windows für Linux
# 6699 tcp winmx napster opennap lopster
# giFT
# bittorrent
# gnutella
# limwire
# FastTrack (KaZaa)
# realplayer
# 8080 tcp http/www World Wide Web HTTP
# 8008 tcp http/www World Wide Web HTTP
# Gentoo rsync
# Gentoo emerge
#siehe auch hier: http://www.iana.org/assignments/port-numbers
#+++++++++++++++++++++++++++++++++++++++++++++++++ ++++++++++++++++++++++++++++++++++++++++++++++++++ +++++++++++++++++++++++++++++++++++++++++
#Hier bräuchte ich noch ein paar Angaben zu Filesharingprogrammen und deren Ports
#+++++++++++++++++++++++++++++++++++++++++++++++++ ++++++++++++++++++++++++++++++++++++++++++++++++++ +++++++++++++++++++++++++++++++++++++++++
#######
#RULES#
#######
#ACTION SOURCE DEST PROTO DEST SOURCE ORIGINAL
# PORT PORT(S) DEST
###Lokales Netz > Internet
###LAN > Internet , d.h. ausgehend ???
ACCEPT loc net TCP 20,21,53,80,110,443,1214,4660:4670,10000
ACCEPT loc net UDP 25,53,4666
#Internet < LAN , d.h. eingehend ???
ACCEPT net loc TCP 20,21,53,80,110,443,1214,4660:4670
ACCEPT net loc UDP 25,53,4666
###Namensaufloesung Netbios und SMB ,d.h. Bei der Verwendung von Samba
ACCEPT fw loc UDP 137:139
ACCEPT fw loc TCP 139
ACCEPT loc fw TCP 139
ACCEPT loc fw UDP 137:139
###Lokales Netz > Firewall ???
ACCEPT loc fw TCP 20,21,53,80,110,443,1214,4660:4670
ACCEPT fw loc UDP 25,53,4666
#Internet > Firewall ???
ACCEPT net fw TCP 20,21,53,80,110,443,1214,4660:4670
ACCEPT net fw UDP 25,53,4666
### 2ter Rechner über NAT ins Internet ???
ACCEPT masq fw TCP 20,21,25,53,80,110,443,1214,
ACCEPT masq fw UDP 53,1214
### Internet zu 2tem Rechner ???
ACCEPT fw masq TCP 20,21,25,53,80,110,443,1214,
ACCEPT fw masq UDP 53,1214
#+++++++++++++++++++++++++++++++++++++++++++++++++ ++++++++++++++++++++++++++++++++++++++++++++++++++ ++++++++++++++++++++++++++++++++++++++++++
#Konfiguration: -2 Rechner RechnerA Linux mit Firewall RechnerB Windows XP mit Zugang zum Internet über RechnerA
# -RechnerA kann über Samba auf RechnerB zugreifen
# -RechnerA kann auf Internet zugreifen http htps ftp smtp pop3 amule edonkey giFT (Gnutella OpenFT Fasttrack)LimeWire Gentoo emerge & rsync
# -RechnerB kann über RechnerA auf das Internet zugreifen http https ftp kazaa smtp pop3
# -RechnerA kann webmin ausführen -local-
# Ich gehe davon aus, daß bei den Regeln jede Menge Fehler enthalten sind, da ich bei Punkt 1 nicht dahintergestiegen bin.Außerdem fehlen noch einig Portnummern.
Dank im voraus
MfG

+++Zum ersten komme ich mit den Zonen nicht klar+++
http://www.linuxforen.de/forums/showthread.php?t=145510&highlight=shorewall
Hallo
Ich nutze Shorewall. Bei den Zonen bin ich nco nicht so richtig dahintergesiegen. Ich habe zwei Rechner.
1. Linux mit Shorewall über eth0 am Internet. eth1 Lan
2. WindowsXP Internetnutzung über Rechner1
Ich habe mir im Internet verschiedene Konfigurationen angesehen. Es gibtdie rules für
net fw
fw net
loc fw
fw loc
loc loc
masq net usw.
Ich habe mit das vorkonfigurierte Paket von Shorewall "two-interfaces.tgz in dem Ordner /etc/shorewall entpackt. Dort sind bloß die Zonen fw net und loc enthalten.
Kann mir jemand erklären, für welche Verbindung ich welche Zonen angeben muß? Z.B. hätte ich gedacht,
daß ich für die Verbindung des Linuxrechner zum Internet die Regel für fw net und net fw brauche und für das Lan loc loc, sowie für die Internet nutzung von Rechner2 loc net & net loc MfG

+++Zum zweiten mit nat. Von meinem zweiten Windowsrechner aus kann ich mit dem Browser nicht alle Webseiten aufrufen, sondern nur einige. Kazaa funktioniert aber.+++

Also ich nutze Shorewall, habe hier drei Rechner als Netzwerk, alle mit Mandrake 10 bzw. 10.1 Alpha, auf dem Rechner meiner Holden befindet sich ausserdem noch Win XP. Der erste Rechner dient als Router/Firewall/MLDonkey, stellt per dhcpd den anderen PC's den Internetzugang zur Verfügung. In der /etc/shorewall/policy habe ich als einzige Änderung lediglich das lokale Netz freigegeben:

fw loc ACCEPT
loc fw ACCEPT
In der Datei interfaces steht:

net eth0 detect
loc eth1 detect
Die Zonen sind leicht zu erklären: der Router/Firewall-Rechner ist "fw", das Internet ist "net", das lokale Netzwerk ist "loc". Darum auch in der policy den Zugriff zwischen loc und fw in beide Richtungen freigeben. Auf diese Weise hat's bei mir immer funktioniert.

Gruß, Blackshine

Moin,
ich versuche es mal an Hand meiner Shorewall Konfiguration zu erklären:
Die Zonen werden in der Datei /etc/shorewall/interfaces definiert.
Das sieht dann bei mir so aus:


#ZONE INTERFACE BROADCAST OPTIONS
net ppp0 - routefilter,norfc1918 #da gehts zum Inet
loc eth0 192.168.0.255 # Das ist das lokale Netz
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE

Die Zonen selber werden in der Datei /etc/shorewall/zones bestimmt.
Was dann so aussieht:

#ZONE DISPLAY COMMENTS
net Net Internet
loc Local Local Networks
#LAST LINE -- ADD YOUR ENTRIES ABOVE THIS LINE -- DO NOT REMOVE

Das sollte bei dir so eigentlich schon drinne stehen.

Jetzt kommen wir zu den Regeln in der Datei /etc/shorewall/rules. Ich nehme hier mal einfach eine Regel für Bittorrent als Beispiel raus:


ACCEPT net fw tcp 6981:6989
Diese Regel bedeutet,akzeptiere alle tcp Verbindungen auf den Firwallrechner(fw), die auf Port 6981 bis 6989 kommen.
Ich habe meinen BT Client davon natürlich unterrichtet, dass er die Ports nehmen soll.

Jetzt mal eine etwas kompliziertere Regel für Gnomemeeting:

DNAT net loc:192.168.0.2 tcp 1720,1831,6881:6889,30000:30010
DNAT net loc:192.168.0.2 udp 2657,5000:5003

Die erste Zeile bedeutet, leite alle Verbindungen auf die Ports 1720, 1831, 6881 bis 6889 und 30000:30010 an den Rechner im lokalen Netz(loc) mit der IP Nummer 192.168.0.2(:192.168.0.2) weiter.

Wenn du jetzt einen Port auf einen anderen Port umleiten willst, und dieser Port dann auf einen anderen Rechner im lokalen Netz geleitet werden soll, sieht das ganze dann in etwa so aus:

DNAT net loc:192.168.0.2:22 tcp 50001
Das bedeutet leite alle Verbindungen auf Port 50001 auf den Port 22 des lokalen Rechners mit der IP 192.168.0.2.

Ich hoffe das gibt dir erstmal einen Überblick.


Greetings Zaphod-B

###interfaces
#ZONE INTERFACE BROADCAST OPTIONS
net eth0 194.105.102.255 dhcp,routefilter,norfc1918,tcpflags
loc eth1 192.168.0.255 tcpflags
#Auszug aus /etc/conf.d/net
#iface_eth1="192.168.0.1 broadcast 192.168.0.255 netmask 255.255.255.0"
#iface_eth0="194.105.102.167 broadcast 194.105.102.255 netmask 255.255.255.128"
#gateway="eth0/194.105.102.129"
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE

+++hier ist mir die Bedeutung der Optionen unklar. m.E. kan ich dhcp weglassen, da ich feste Adressen vergeben habe.
++++routefilter ?
++++norfc1918 ?
++++tcpflags ?

###zones
#ZONE DISPLAY COMMENTS
net Net Internet
loc Local Local Networks
#LAST LINE -- ADD YOUR ENTRIES ABOVE THIS LINE -- DO NOT REMOVE

###masq
#INTERFACE SUBNET ADDRESS
eth0 eth1
#LAST LINE -- ADD YOUR ENTRIES ABOVE THIS LINE -- DO NOT REMOVE

###policy
#SOURCE DEST POLICY LOG LEVEL LIMIT:BURST
loc net DROP info
loc fw DROP info
fw net DROP info #Firewallrechner -> Internet !
all all REJECT info
# THE FOLLOWING POLICY MUST BE LAST
+++ Wenn ich bei policy fw loc ACCEPT
loc fw ACCEPT einfüge., dann ist doch m.E. alles offen.
Ich habe das so verstanden, daß ich erst einmal alles ablehne und dann in den rules die Ausnahmen festlege.++++++

##rules
-Auszug
# für www (http https)
ACCEPT loc fw tcp 80,8080,8008,443
ACCEPT net fw tcp 80,8080,8008,443
ACCEPT fw net tcp 80,8080,8008,443
ACCEPT fw loc tcp 80,8080,8008,443
'für Windows-Rechner
ACCEPT loc net tcp 80,8080,8008,443
ACCEPT net loc tcp 80,8080,8008,443
# für email (pop3 smtp)
ACCEPT loc fw tcp 25,110
ACCEPT net fw tcp 25,110
ACCEPT fw net tcp 25,110
ACCEPT fw loc tcp 25,110
#für Windows-Rechner
ACCEPT loc net tcp 25,110
ACCEPT net loc tcp 25,110
# für edonkey emule amule xmule
ACCEPT loc fw tcp 14662,14661,4660:4670
ACCEPT net fw tcp 14662,14661,4660:4670
ACCEPT fw net tcp 14662,14661,4660:4670
ACCEPT fw loc tcp 14662,14661,4660:4670
ACCEPT net fw udp 14666
ACCEPT fw net udp 4666
REDIRECT net 4661 tcp 14662 -
REDIRECT net 4662 tcp 14662 -
+++Bei den Rules am Beispiel http -Welche Regeln sind überflüssig? "... Die Zonen sind leicht zu erklären: der Router/Firewall-Rechner ist "fw", das Internet ist "net", das lokale Netzwerk ist "loc". Darum auch in der policy den Zugriff zwischen loc und fw in beide Richtungen freigeben. .." 2,3,5,6???+++
+++Wenn ich Zaphod-B verstehe sollten aber die Regeln 2und 3 bleiben und dann noch zwei Regeln DNAT net loc bzw. loc net erstellt werden.+++
# für www (http https)
1) ACCEPT loc fw tcp 80,8080,8008,443
2) ACCEPT net fw tcp 80,8080,8008,443
3) ACCEPT fw net tcp 80,8080,8008,443
4) ACCEPT fw loc tcp 80,8080,8008,443
'für Windows-Rechner
5) ACCEPT loc net tcp 80,8080,8008,443
6) ACCEPT net loc tcp 80,8080,8008,443

Moin,
dhcp kann raus, weil du es nicht benutzt.

norfc1918 bedeutet, dass er keine Pakete durchlässt, die von einer als Privat gekennzeichneten IP durchlässt.
Was eine Private IP ist, ist in der RFC 1918 festgelegt, dazu gehören:

10.0.0.0 - 10.255.255.255 (10/8 prefix)
172.16.0.0 - 172.31.255.255 (172.16/12 prefix)
192.168.0.0 - 192.168.255.255 (192.168/16 prefix)

Ist sinnvoll sollte drinnen bleiben.

routefilter habe ich selber nie verstanden, ist aber eine Regel, die Spoofing vermeiden soll, vielleicht weiss da jemand mehr.

tcpflags soll dafür sorgen, dass keine manipulierten Pakete weitergleitet werden.

Wenn du bei policy loc fw ACCEPT einträgst, ist nur alles vom lokalen Netz aus erreichbar. Das hätte als neben Wirkung, dass du dir die Hälfte der Einträge in rules sparen könntest, wie bei den Regeln für http angemerkt hattest.


Greetings Zaphod-B

Wenn ich auf ACCEPT gehe, dann kann aber m.E. alles raus.
Ich habe gearde eine umfassende Top-Anleitung in deutsch gefunden (Nach langem Suchen) Habe mir gerade die 29 Seiten ausgedruckt und werde die mir in den nächsten Tageb auch reinziehen. Ich will Dich nicht nerven, darum besten Dank fürs erste. Wäre aber nicht schlecht, wenn ich Dich über eine private Nachricht noch mal anzapfen kann, sollten nach der Lektüre immer noch Unklarheiten bestehen.
MfG ;)

Wenn ich auf ACCEPT gehe, dann kann aber m.E. alles raus.
Das ist richtig, es kann sein, dass ich dich missverstanden habe, oder wolltest du den Win Rechner nicht als offenes Mail Relay laufen lassen. ;)


Ich habe gearde eine umfassende Top-Anleitung in deutsch gefunden (Nach langem Suchen) Habe mir gerade die 29 Seiten ausgedruckt und werde die mir in den nächsten Tageb auch reinziehen.
Die würde mich aber auch mal interessieren, kannst du mal den Link posten?


Ich will Dich nicht nerven, darum besten Dank fürs erste. Wäre aber nicht schlecht, wenn ich Dich über eine private Nachricht noch mal anzapfen kann, sollten nach der Lektüre immer noch Unklarheiten bestehen.
MfG ;)
Kein Problem. :)


Greetings Zaphod-B

Ich habe den Link nicht, da ich das Dokument (pdf) gespeichert habe. 234k
"TCP/IP Firewall mit Shorewall von P. Bönzli 3.5.2004"
Ich glaube https://www.csg.ethz.ch/education/ lectures/pps_firewall/ss2004/files/shorewall.pdf
Wenn das falsch ist, kann ich Dir das auch schicken.
MfG

http://www.csg.ethz.ch/education/lectures/pps_firewall/SS2004/files/shorewall.pdf

http://www.csg.ethz.ch/education/lectures/pps_firewall/SS2004/files/shorewall.pdf

hast du mal auf das datum vom thread geschaut? :ugly:

//richard

hast du mal auf das datum vom thread geschaut? :ugly:

//richard

Hier ist der Beweis. Eindeutiger gehts nicht: Es gibt Zeitreisen wirklich.

Hier ist der Beweis. Eindeutiger gehts nicht: Es gibt Zeitreisen wirklich.

Goldene oder Diamantene Schaufel? ;)

Diamantene gibt es erst bei 10 Jahren.

Einigen wir uns auf goldene mit Strass.

Einverstanden, dann Gratulation, an den Gräber. ;)
Die Auszeichnung ist verdient.

Dieser Spaten wurde ihnen präsentiert von "Happy Digger" :)

hast du mal auf das datum vom thread geschaut? :ugly:
Passt doch ideal zum Erstellungsdatum des verlinkten PDFs. ;)