extern/shorewall_code
1
0
Fork 1
mirror of https://gitlab.com/shorewall/code.git synced 2025-01-02 19:49:08 +01:00
Code Issues Packages Projects Releases Wiki Activity

Latest Russian Documents

Browse Source 
git-svn-id: https://shorewall.svn.sourceforge.net/svnroot/shorewall/trunk@3200 fbd18981-670d-0410-9b5c-8dc0c1a9a2bb
This commit is contained in:
teastep 2005-12-25 01:43:13 +00:00
parent 5a2e107b73
commit 3bfd757a8e
3 changed files with 1301 additions and 172 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

115
Shorewall-docs2/standalone_ru.xml
View File

@ -15,7 +15,7 @@
</author>
</authorgroup>
<pubdate>2005-11-02</pubdate>
<pubdate>2005-12-04</pubdate>
<copyright>
<year>2002-2005</year>
@ -34,6 +34,26 @@
</legalnotice>
</articleinfo>
<caution>
<para><emphasis role="bold">Эта статья применима для Shorewall версии 3.0
и выше. Если Вы работаете с более ранней версией Shorewall чем Shorewall
3.0.0, тогда смотрите документацию для этого выпуска.</emphasis></para>
</caution>
<warning>
<para>Пример файлов конфигурации в составе Shorewall 3.0.0 и 3.0.1 был
некорректен. Первой генерируемой ошибкой была:</para>
<para><emphasis role="bold">ERROR: No Firewall Zone Defined (ОШИБКА: Не
определены зоны файервола)</emphasis></para>
<para>Исправленные файла 'зоны' ('zones') и 'интерфейсы' ('interfaces')
доступны по адресу: <ulink
url="http://www.shorewall.net/pub/shorewall/3.0/shorewall-3.0.1/errata/one-interface/">http://www.shorewall.net/pub/shorewall/3.0/shorewall-3.0.1/errata/one-interface/</ulink>.</para>
<para>Эта проблема исправлена в Shorewall 3.0.2.</para>
</warning>
<section>
<title>Введение</title>
@ -136,13 +156,35 @@
<section>
<title>Концепции Shorewall</title>
<para><inlinegraphic fileref="images/BD21298_.gif" format="GIF" /></para>
<para>Конфигурационные файлы Shorewall находятся в директории <filename
class="directory">/etc/shorewall</filename> -- в случае простой установки
Вам необходимо иметь дело только с немногими из них, как описано в этом
руководстве. После того как Вы <ulink url="Install.htm">установили
Shorewall</ulink>, Вы можете найти Примеры файлов настроек в следующих
руководстве.</para>
<para><warning>
<para><emphasis role="bold">Замечание для пользователей
Debian</emphasis></para>
<para>Если Вы при установке пользовались .deb, Вы обнаружите, что
директория <filename class="directory">/etc/shorewall</filename>
пуста. Это сделано специально. Поставляемые шаблоны файлов
конфигурации Вы найдете на вашей системе в директории <filename
class="directory">/usr/share/doc/shorewall/default-config</filename>.
Просто скопируйте нужные Вам файлы из этой директории в <filename
class="directory">/etc/shorewall</filename> и отредактируйте
копии.</para>
<para>Заметьте, что Вы должны скопировать <filename
class="directory">/usr/share/doc/shorewall/default-config/shorewall.conf</filename>
и <filename
class="directory">/usr/share/doc/shorewall/default-config/modules</filename>
в <filename class="directory">/etc/shorewall</filename> даже если Вы
не будете изменять эти файлы.</para>
</warning><inlinegraphic fileref="images/BD21298_.gif"
format="GIF" /></para>
<para>После того как Вы <ulink url="Install.htm">установили
Shorewall</ulink>, Вы можете найти примеры файлов настроек в следующих
местах:</para>
<orderedlist>
@ -177,27 +219,6 @@
</listitem>
</orderedlist>
<warning>
<para><emphasis role="bold">Замечание для пользователей
Debian</emphasis></para>
<para>Если Вы при установке пользовались .deb, Вы обнаружите, что
директория <filename class="directory">/etc/shorewall</filename> пуста.
Это сделано специально. Поставляемые шаблоны файлов конфигурации Вы
найдете на вашей системе в директории <filename
class="directory">/usr/share/doc/shorewall/default-config</filename>.
Просто скопируйте нужные Вам файлы из этой директории в <filename
class="directory">/etc/shorewall</filename> и отредактируйте
копии.</para>
<para>Заметьте, что Вы должны скопировать <filename
class="directory">/usr/share/doc/shorewall/default-config/shorewall.conf</filename>
и <filename
class="directory">/usr/share/doc/shorewall/default-config/modules</filename>
в <filename class="directory">/etc/shorewall</filename> даже если Вы не
будете изменять эти файлы.</para>
</warning>
<para>По мере того как мы будем знакомится с каждым файлом, я надеюсь, что
Вы просмотрите реальный файл на вашей системе -- каждый файл содержит
детальное описание конфигурационных инструкций и значений по
@ -249,7 +270,7 @@ net ipv4</programlisting>
action</ulink>) определенное для политики в файле
<filename>/etc/shorewall/actions</filename> или
<filename>/usr/share/shorewall/actions.std</filename>, тогда это действие
выполняется перед тем как .</para>
выполняется перед тем как применяется политика.</para>
<para>Файл <filename>/etc/shorewall/policy,</filename> входящий в пример с
одним интерфейсом, имеет следующие политики:</para>
@ -290,39 +311,41 @@ all all REJECT info</programlisting>
<para>Файервол имеет один сетевой интерфейс. Если соединение с Internet
осуществляется при помощи кабельного или <acronym>DSL</acronym>
<quote>Модема</quote>, <emphasis>Внешним интерфейсом</emphasis> будет
ethernet-адаптер (например, <emphasis role="bold">eth0</emphasis>),
ethernet-адаптер (например, <filename class="devicefile">eth0</filename>),
который подсоединен к этому <quote>Модему</quote>, <emphasis
role="underline">если же</emphasis> Вы соединены посредством протокола
<emphasis>Point-to-Point Protocol over Ethernet</emphasis>
(<acronym>PPPoE</acronym>) или <emphasis>Point-to-Point Tunneling
Protocol</emphasis> (<acronym>PPTP</acronym>), то в этом случае
<emphasis>Внешним интерфейсом</emphasis> будет <emphasis
role="bold">ppp</emphasis> интерфейс (например, <emphasis
role="bold">ppp0</emphasis>). Если Вы подсоединены через обычный модем,
Вашим <emphasis>Внешним интерфейсом</emphasis> будет также <emphasis
role="bold">ppp0</emphasis>. Если Вы соединяетесь используя
<emphasis>Внешним интерфейсом</emphasis> будет <acronym>PPP</acronym>
интерфейс (например, <filename class="devicefile">ppp0</filename>). Если
Вы подсоединены через обычный модем, Вашим <emphasis>Внешним
интерфейсом</emphasis> будет также <filename
class="devicefile">ppp0</filename>. Если Вы соединяетесь используя
<acronym>ISDN</acronym>, <emphasis>Внешним интерфейсом</emphasis> будет
<emphasis role="bold">ippp0</emphasis>.</para>
<filename class="devicefile">ippp0</filename>.</para>
<para><inlinegraphic fileref="images/BD21298_.gif" format="GIF" /></para>
<para>Пример конфигурации Shorewall для одного интерфейса подразумевает,
что внешний интерфейс - <emphasis role="bold">eth0</emphasis>. Если Ваша
конфигурация отличается, Вам необходимо изменить файл примера
что внешний интерфейс - <filename class="devicefile">eth0</filename>. Если
Ваша конфигурация отличается, Вам необходимо изменить файл примера
<filename>/etc/shorewall/interfaces</filename> соответственно. Пока Вы
здесь, Вы возможно захотите просмотреть список опций, специфичных для
интерфейса. Вот несколько подсказок:</para>
<tip>
<para>Если Ваш внешний интерфейс <emphasis role="bold">ppp0</emphasis>
или <emphasis role="bold">ippp0</emphasis>, Вы можете заменить
<para>Если Ваш внешний интерфейс <filename
class="devicefile">ppp0</filename> или <filename
class="devicefile">ippp0</filename>, Вы можете заменить
<quote>detect</quote>(обнаружить) во втором столбце на
<quote>-</quote>(знак минус в ковычках).</para>
</tip>
<tip>
<para>Если Ваш внешний интерфейс <emphasis role="bold">ppp0</emphasis>
или <emphasis role="bold">ippp0</emphasis> или Вы имеете статический
<para>Если Ваш внешний интерфейс <filename
class="devicefile">ppp0</filename> или <filename
class="devicefile">ippp0</filename> или Вы имеете статический
<acronym>IP</acronym>-адрес, Вы можете удалить <quote>dhcp</quote> из
списка опций.</para>
</tip>
@ -441,12 +464,12 @@ SSH/ACCEPT net $FW </programlisting>
<para><inlinegraphic fileref="images/BD21298_.gif" format="GIF" /></para>
<para><ulink url="Install.htm">Процедура установки</ulink> настраивает
Вашу систему для запуска Shorewall при загрузке системе, но начиная с
Shorewall версии 1.3.9 запуск отключен, так что система не будет пытаться
запустить Shorewall до полного завершения конфигурирования. Как только Вы
полностью завершите конфигурирование Вашего файервола, Вы можете включить
запуск Shorewall путем удаления файла
<filename>/etc/shorewall/startup_disabled</filename>.</para>
Вашу систему для запуска Shorewall при загрузке системе, но запуск
остается отключен, так что система не будет пытаться запустить Shorewall
до полного завершения конфигурирования. Как только Вы полностью завершите
конфигурирование Вашего файервола, Вы можете включить запуск Shorewall,
отредактировав файл <filename>/etc/shorewall/shorewall.conf</filename> и
установив параметр <varname>STARTUP_ENABLED=Yes</varname>.</para>
<important>
<para>Пользователи пакета .deb должны отредактировать файл

1077
Shorewall-docs2/three-interface_ru.xml Normal file
View File

File diff suppressed because it is too large Load Diff

273
Shorewall-docs2/two-interface_ru.xml
View File

@ -56,12 +56,15 @@
</listitem>
<listitem>
<para><emphasis role="bold">Один внешний(публичный)
IP-адрес.</emphasis> Если Вы имеете более одного публичного
<para>Один внешний (публичный) <acronym>IP</acronym>-адрес.</para>
<note>
<para>Если Вы имеете более одного публичного
<acronym>IP</acronym>-адреса, это руководство не то, что Вам нужно.
Смотрите вместо этого <ulink
url="shorewall_setup_guide.htm">Руководство по установке
Shorewall</ulink>.</para>
</note>
</listitem>
<listitem>
@ -71,7 +74,7 @@
</listitem>
</itemizedlist>
<para>Вот схема типичной установки: <figure label="1">
<para>Вот схема типичной установки:<figure label="1">
<title>Общая конфигурация файервола с двумя интерфейсами</title>
<mediaobject>
@ -157,13 +160,35 @@
<section>
<title>Концепции Shorewall</title>
<para><inlinegraphic fileref="images/BD21298_.gif" format="GIF" /></para>
<para>Конфигурационные файлы Shorewall находятся в директории <filename
class="directory">/etc/shorewall</filename> -- в случае простой установки
Вам необходимо иметь дело только с немногими из них, как описано в этом
руководстве. После того как Вы <ulink url="Install.htm">установили
Shorewall</ulink>, Вы можете найти Примеры файлов настроек в следующих
руководстве.</para>
<para><warning>
<para><emphasis role="bold">Замечание для пользователей
Debian</emphasis></para>
<para>Если Вы при установке пользовались .deb, Вы обнаружите, что
директория <filename class="directory">/etc/shorewall</filename>
пуста. Это сделано специально. Поставляемые шаблоны файлов
конфигурации Вы найдете на вашей системе в директории <filename
class="directory">/usr/share/doc/shorewall/default-config</filename>.
Просто скопируйте нужные Вам файлы из этой директории в <filename
class="directory">/etc/shorewall</filename> и отредактируйте
копии.</para>
<para>Заметьте, что Вы должны скопировать <filename
class="directory">/usr/share/doc/shorewall/default-config/shorewall.conf</filename>
и <filename
class="directory">/usr/share/doc/shorewall/default-config/modules</filename>
в <filename class="directory">/etc/shorewall</filename> даже если Вы
не будете изменять эти файлы.</para>
</warning><inlinegraphic fileref="images/BD21298_.gif"
format="GIF" /></para>
<para>После того как Вы <ulink url="Install.htm">установили
Shorewall</ulink>, Вы можете найти примеры файлов настроек в следующих
местах:</para>
<orderedlist>
@ -200,35 +225,14 @@
</listitem>
</orderedlist>
<warning>
<para><emphasis role="bold">Замечание для пользователей
Debian</emphasis></para>
<para>Если Вы при установке пользовались .deb, Вы обнаружите, что
директория <filename class="directory">/etc/shorewall</filename> пуста.
Это сделано специально. Поставляемые шаблоны файлов конфигурации Вы
найдете на вашей системе в директории <filename
class="directory">/usr/share/doc/shorewall/default-config</filename>.
Просто скопируйте нужные Вам файлы из этой директории в <filename
class="directory">/etc/shorewall</filename> и отредактируйте
копии.</para>
<para>Заметьте, что Вы должны скопировать <filename
class="directory">/usr/share/doc/shorewall/default-config/shorewall.conf</filename>
и <filename
class="directory">/usr/share/doc/shorewall/default-config/modules</filename>
в <filename class="directory">/etc/shorewall</filename> даже если Вы не
будете изменять эти файлы.</para>
</warning>
<para>По мере того как мы будем знакомится с каждым файлом, я надеюсь, что
Вы просмотрите реальный файл на вашей системе -- каждый файл содержит
детальное описание конфигурационных инструкций и значений по
умолчанию.</para>
<para>Shorewall видит сеть, в которой он работает, как состоящую из набора
<emphasis>зон(zones)</emphasis>. В случае примера конфигурации с одним
интерфейсом, только две зоны определены:</para>
<emphasis>зон(zones)</emphasis>. В примере конфигурации с двумя
интерфейсами, определены следующие зоны:</para>
<programlisting>#ZONE TYPE OPTIONS IN OUT
# OPTIONS OPTIONS
@ -312,8 +316,6 @@ $FW net ACCEPT</programlisting>Политики приведен
</listitem>
</orderedlist>
<para><inlinegraphic fileref="images/BD21298_.gif" format="GIF" /></para>
<para>Важно отметить, что политики Shorewall (и правила) ссылаются на
<emphasis role="bold">соединения</emphasis>, а не на поток пакетов. С
политикой определенной в файле<filename class="directory">
@ -321,6 +323,8 @@ $FW net ACCEPT</programlisting>Политики приведен
зоны <quote>loc</quote> в зону <quote>net</quote>, хотя на сам файервол
соединения из зоны <quote>loc</quote> не разрешены.</para>
<para><inlinegraphic fileref="images/BD21298_.gif" format="GIF" /></para>
<para>В данный момент Вы можете отредактировать ваш файл
<filename>/etc/shorewall/policy</filename> и внести изменения, какие Вы
считаете необходимыми.</para>
@ -335,22 +339,22 @@ $FW net ACCEPT</programlisting>Политики приведен
</imageobject>
</mediaobject>
<para>Файервол имеет два сеиевых интерфейса. Если соединение с Интернет
<para>Файервол имеет два сетевых интерфейса. Если соединение с Интернет
осуществляется при помощи кабельного или <acronym>DSL</acronym>
<quote>Модема</quote>, <emphasis>Внешним интерфейсом</emphasis> будет тот
ethernet-адаптер (например, <emphasis role="bold">eth0</emphasis>),
ethernet-адаптер (например, <filename class="devicefile">eth0</filename>),
который подсоединен к этому <quote>Модему</quote>, <emphasis
role="underline">если же</emphasis> Вы соединены посредством протокола
<emphasis>Point-to-Point Protocol over Ethernet</emphasis>
(<acronym>PPPoE</acronym>) или <emphasis>Point-to-Point Tunneling
Protocol</emphasis> (<acronym>PPTP</acronym>), то в этом случае
<emphasis>Внешним интерфейсом</emphasis> будет <emphasis
role="bold">ppp</emphasis> интерфейс (например, <emphasis
role="bold">ppp0</emphasis>). Если Вы подсоединены через обычный модем,
Вашим <emphasis>Внешним интерфейсом</emphasis> будет также <emphasis
role="bold">ppp0</emphasis>. Если Вы соединяетесь используя
<emphasis>Внешним интерфейсом</emphasis> будет <acronym>PPP</acronym>
интерфейс (например, <filename class="devicefile">ppp0</filename>). Если
Вы подсоединены через обычный модем, Вашим <emphasis>Внешним
интерфейсом</emphasis> будет также <filename
class="devicefile">ppp0</filename>. Если Вы соединяетесь используя
<acronym>ISDN</acronym>, <emphasis>Внешним интерфейсом</emphasis> будет
<emphasis role="bold">ippp0</emphasis>.</para>
<filename class="devicefile">ippp0</filename>.</para>
<para><inlinegraphic fileref="images/BD21298_.gif" format="GIF" /></para>
@ -361,15 +365,16 @@ $FW net ACCEPT</programlisting>Политики приведен
class="directory">/etc/shorewall/</filename><filename>shorewall.conf</filename></emphasis>.</para>
<para>Ваш <emphasis>Внешний интерфейс</emphasis> будет ethernet-адаптер
(<emphasis role="bold">eth1</emphasis> or <emphasis
role="bold">eth0</emphasis>) и будет соединен с <emphasis
role="bold">хабом</emphasis> или <emphasis
role="bold">коммутатором</emphasis>. Другие Ваши компьютеры будут
соединены с тем же <emphasis>хабом/коммутатором</emphasis> (заметьте: если
Вы имеете только одну внутреннюю систему, Вы можете соединить файервол с
этим компьютером напрямую, используя кроссоверный (cross-over) кабель.
<warning>
<para><emphasis role="bold">Не подсоединяйте внутренний и внешний
(<filename class="devicefile">eth0</filename> or <filename
class="devicefile">eth1</filename>) и будет соединен с
<emphasis>хабом</emphasis> или <emphasis>коммутатором</emphasis>. Другие
Ваши компьютеры будут соединены с тем же хабом/коммутатором (заметьте:
если Вы имеете только одну внутреннюю систему, Вы можете соединить
файервол с этим компьютером напрямую, используя кроссоверный (cross-over)
кабель.</para>
<para><caution>
<para><emphasis role="bold">НЕ подсоединяйте внутренний и внешний
интерфейсы к одному т тому же хабу или коммутатору исключая время
тестирование</emphasis>.Вы можете провести тестирование используя
данную конфигурацию, если Вы указали параметр
@ -378,23 +383,25 @@ $FW net ACCEPT</programlisting>Политики приведен
для всех интерфейсов подсоединенных к общему хабу/коммутатору.
<emphasis role="bold">Использовать такие установки на рабочем
файерволе строго не рекоммендуется</emphasis>.</para>
</warning> <inlinegraphic fileref="images/BD21298_.gif"
</caution> <inlinegraphic fileref="images/BD21298_.gif"
format="GIF" /></para>
<para>Пример конфигурации Shorewall с двумя интерфейсами подразумевает,
что внешний интерфейс - это <emphasis role="bold">eth0</emphasis>, а
внутренний - <emphasis role="bold">eth1</emphasis>. Если Ваша конфигурация
отличается, Вы должны будете изменить пример файл <filename
что внешний интерфейс - это <filename class="devicefile">eth0</filename>,
а внутренний - <filename class="devicefile">eth1</filename>. Если Ваша
конфигурация отличается, Вы должны будете изменить пример файл <filename
class="directory">/etc/shorewall/</filename><filename>interfaces</filename>
соответственно. Пока Вы здесь, Вы возможно захотите просмотреть список
опций, специфичных для интерфейса. Вот несколько подсказок:<tip>
<para>Если Ваш внешний интерфейс <emphasis role="bold">ppp0</emphasis>
или <emphasis role="bold">ippp0</emphasis>, Вы можете заменить
<para>Если Ваш внешний интерфейс <filename
class="devicefile">ppp0</filename> или <filename
class="devicefile">ippp0</filename>, Вы можете заменить
<quote>detect</quote>(обнаружить) во втором столбце на
<quote>-</quote>(знак минус в ковычках).</para>
</tip><tip>
<para>Если Ваш внешний интерфейс <emphasis role="bold">ppp0</emphasis>
или <emphasis role="bold">ippp0</emphasis> или Вы имеете статический
<para>Если Ваш внешний интерфейс <filename
class="devicefile">ppp0</filename> или <filename
class="devicefile">ippp0</filename> или Вы имеете статический
<acronym>IP</acronym>-адрес, Вы можете удалить <quote>dhcp</quote> из
списка опций.</para>
</tip><tip>
@ -424,7 +431,7 @@ $FW net ACCEPT</programlisting>Политики приведен
адреса постоянно. Как бы ни был назначен Вам внешний адрес, он будет
разделяться между всеми Вашими системами при доступе в Интернет. Вы должны
будете назначить свои собственные адреса в Вашей внутренней сети
(внутренний интерфейс на Вашем файерволе плюс другие Ваши компьютеры).
(внутренний интерфейс на Вашем файерволе, плюс другие Ваши компьютеры).
<acronym>RFC-1918</acronym> резервирует несколько <emphasis>Частных
(Private)</emphasis> <acronym>IP</acronym>-адресов для этих целей:
<programlisting>10.0.0.0 - 10.255.255.255
@ -484,7 +491,7 @@ $FW net ACCEPT</programlisting>Политики приведен
</row>
<row>
<entry align="left"><emphasis role="bold">нотация
<entry align="left"><emphasis role="bold">Нотация
CIDR:</emphasis></entry>
<entry align="left"><systemitem
@ -492,7 +499,7 @@ $FW net ACCEPT</programlisting>Политики приведен
</row>
</tbody>
</tgroup>
</informaltable> Удобно назначать внутреннему интерфейсу либо первый
</informaltable>Удобно назначать внутреннему интерфейсу либо первый
используемый адрес подсети (<systemitem
class="ipaddress">10.10.10.1</systemitem> в примере выше), либо последний
используемый адрес (<systemitem
@ -526,7 +533,7 @@ $FW net ACCEPT</programlisting>Политики приведен
<imagedata fileref="images/basics1.png" format="PNG" />
</imageobject>
</mediaobject> Маршрутизатором по умолчанию для computer 1 и 2 должен
быть <systemitem class="ipaddress">10.10.10.254</systemitem>. <warning>
быть <systemitem class="ipaddress">10.10.10.254</systemitem>.<warning>
<para>Ваш <acronym>ISP</acronym> может назначить Вашему внешнему
интерфейсу адрес из <acronym>RFC-1918</acronym>. Если этот адрес из
подсети <systemitem class="ipaddress"> 10.10.10.0/24</systemitem>,
@ -584,9 +591,9 @@ $FW net ACCEPT</programlisting>Политики приведен
<para><inlinegraphic fileref="images/BD21298_.gif" format="GIF" /></para>
<para>Если Ваш внешний интерфейс файервола - <emphasis
role="bold">eth0</emphasis>, Вам не нужно изменять файл из примера. В
противном случае, отредактируйте <filename
<para>Если Ваш внешний интерфейс файервола - <filename
class="devicefile">eth0</filename>, Вам не нужно изменять файл из примера.
В противном случае, отредактируйте <filename
class="directory">/etc/shorewall/</filename><filename>masq</filename> и
измените первый столбец на имя Вашего внешнего интерфейса и второй столбец
на имя Вашего внутреннего интерфейса.</para>
@ -629,18 +636,18 @@ $FW net ACCEPT</programlisting>Политики приведен
(Port Forwarding)</emphasis> или <emphasis>Преобразование Сетевого Адреса
Назначения (Destination Network Address Translation</emphasis> -
<acronym>DNAT</acronym>). Вы настраиваете перенаправление портов при
помощи правил <acronym>DNAT</acronym> в файле <filename
помощи правил <varname>DNAT</varname> в файле <filename
class="directory">/etc/shorewall/</filename><filename>rules</filename>.</para>
<para>Основная форма примерного правила перенаправления портов в <filename
class="directory">/etc/shorewall/</filename><filename>rules</filename>
такая: <programlisting>#ACTION SOURCE DEST PROTO DEST PORT(S)
такая:<programlisting>#ACTION SOURCE DEST PROTO DEST PORT(S)
DNAT net loc:<emphasis>&lt;server local ip address&gt;</emphasis>[:<emphasis>&lt;server port&gt;</emphasis>] <emphasis>&lt;protocol&gt;</emphasis> <emphasis>&lt;port&gt;</emphasis></programlisting>Shorewall
имеет <ulink url="Macros.html">макрос (macros)</ulink> для многих
популярных приложений. Смотрите в
<filename>/user/share/shorewall/macro.*</filename>, чтобы увидеть, что
доступно в Вашем релизе. Макрос упрощает создание правил
<acronym>DNAT</acronym> предоставляя протокол и порт(ы) как показано
<varname>DNAT</varname> предоставляя протокол и порт(ы) как показано
ниже.</para>
<para><example label="1">
@ -681,7 +688,10 @@ FTP/DNAT net loc:10.10.10.1</programlisting>Для <acronym>FTP</acronym
<para>Многие <acronym>ISP</acronym> блокируют входящие запросы для
соединения на порт 80. Если у Вас есть проблемы при соединении с
Вашим Web-сервером, попробуйте следующее правило и попытайтесь
соединиться с портом 5000.</para>
соединиться с портом 5000 (например, подключитесь к
<literal>http://w.x.y.z:5000</literal>, где
<literal>w.x.y.z</literal> - Ваш внешний
<acronym>IP</acronym>).</para>
<programlisting>#ACTION SOURCE DEST PROTO DEST PORT(S)
DNAT net loc:10.10.10.2:80 tcp 5000</programlisting>
@ -691,11 +701,11 @@ DNAT net loc:10.10.10.2:80 tcp 5000</programlisting>
<para>В этом месте измените <filename
class="directory">/etc/shorewall/</filename><filename>rules</filename>
добавив любое правило <acronym>DNAT</acronym>, какое Вам
добавив любое правило <varname>DNAT</varname>, какое Вам
необходимо.</para>
<important>
<para>Когда тестируете правила <acronym>DNAT</acronym> похожие на те,
<para>Когда тестируете правила <varname>DNAT</varname> похожие на те,
что приведены выше, Вы должны тестировать с клиента ИЗВНЕ ВАШЕГО
ФАЙЕРВОЛА (в зоне <quote>net</quote>). Вы не можете протестировать эти
правила изнутри файервола!</para>
@ -734,24 +744,26 @@ DNAT net loc:10.10.10.2:80 tcp 5000</programlisting>
</listitem>
<listitem>
<para><anchor id="cachingdns" /> Вы можете настроить
<emphasis>Кэширующий Сервер Имен (Caching Name Server)</emphasis> на
Вашем файерволе. <trademark>Red Hat</trademark> имеет
<acronym>RPM</acronym> для кэширующего сервера имен (этому
<acronym>RPM</acronym> также необходим пакет
<command>bind</command><acronym>RPM</acronym>), а для пользователей
<para><inlinegraphic fileref="images/BD21298_.gif" format="GIF" />
</para>
<para>Вы можете настроить <emphasis>Кэширующий Сервер Имен (Caching
Name Server)</emphasis> на Вашем файерволе. <trademark>Red
Hat</trademark> имеет <acronym>RPM</acronym> для кэширующего сервера
имен (которому также необходим пакет
<command>bind-</command><acronym>RPM</acronym>), а для пользователей
Bering существует <command>dnscache.lrp</command>. Если Вы пойдете
этим путем, Вы настраиваете Ваши внутренние системы на использование
самого файервола как первичного (и только) сервера имен. Вы
используете внутренний <acronym>IP</acronym>-адрес файервола
(<systemitem class="ipaddress">10.10.10.254</systemitem> в примере
выше) для адреса сервера имен. Чтобы позволить Вашим локальным
системам общаться с Вашим кэширующим сервером имен, Вы должны
открыть доступ к порту 53 (оба <acronym>UDP</acronym> и
<acronym>TCP</acronym>) на файерволе из внутренней сети; Вы можете
сделать это, добавив следующее правило в файл <filename
class="directory">/etc/shorewall/</filename><filename>rules</filename>.
<programlisting>#ACTION SOURCE DEST PROTO DEST PORT(S)
выше) для адреса сервера имен, если Вы запускаете сервер имен на
Вашем файерволе. Чтобы позволить Вашим локальным системам общаться с
Вашим кэширующим сервером имен, Вы должны открыть доступ к порту 53
(оба <acronym>UDP</acronym> и <acronym>TCP</acronym>) на файерволе
из внутренней сети. Вы можете сделать это, добавив следующее правило
в файл <filename
class="directory">/etc/shorewall/</filename><filename>rules</filename>.<programlisting>#ACTION SOURCE DEST PROTO DEST PORT(S)
DNS/ACCEPT loc $FW</programlisting></para>
</listitem>
</itemizedlist></para>
@ -760,8 +772,8 @@ DNS/ACCEPT loc $FW</programlisting></para>
<section>
<title>Другие соединения</title>
<para>Пример с двумя интерфейсами включает следующие правила:
<programlisting>#ACTION SOURCE DEST PROTO DEST PORT(S)
<para>Пример с двумя интерфейсами включает следующие
правила:<programlisting>#ACTION SOURCE DEST PROTO DEST PORT(S)
DNS/ACCEPT $FW net</programlisting>Это правило разрешает доступ к
<acronym>DNS</acronym> с Вашего файервола и может быть удалено, если Вы
раскомментировали строку в <filename
@ -771,20 +783,22 @@ DNS/ACCEPT $FW net</programlisting>Это правило разрешае
<para>В показанном выше правиле <quote>DNS/ACCEPT</quote> - это пример
<emphasis>привлечения макроса (macro invocation)</emphasis>. Shorewall
включает множество макросов (смотри
<filename>/usr/share/shorewall/macro.*</filename>) и Вы можете <ulink
url="Macros.html">добавить Ваш собственный</ulink>.</para>
<filename>/usr/share/shorewall/macro.*</filename>) и <ulink
url="Macros.html">Вы можете добавить Ваш собственный</ulink>.</para>
<para>Вам не обязательно использовать предопределенные макросы при
написании правил <filename>/etc/shorewall/rules</filename>; Shorewall
будет запускаться немного быстрее, если Вы будете писать Ваши правила
напрямую, чем при использовании макросов. Правил, показанное выше может
быть также написано как:<programlisting>#ACTION SOURCE DEST PROTO DEST PORT(S)
написании правил в файле <filename>/etc/shorewall/rules</filename>;
Shorewall будет запускаться немного быстрее, если Вы будете писать Ваши
правила напрямую, чем при использовании макросов. Правил, показанное выше
может быть также записано как:<programlisting>#ACTION SOURCE DEST PROTO DEST PORT(S)
ACCEPT $FW net udp 53
ACCEPT $FW net tcp 53</programlisting></para>
<para>В случаях когда Shorewall не имеет предопределенных макросов,
отвечающих Вашим потребностям, Вы можете либо определить свой собственный
макрос, либо просто записать соответствующие правила напрямую.</para>
макрос, либо просто записать соответствующие правила напрямую. <ulink
url="ports.html">Эта страница</ulink> может помочь Вам в случае, если Вы
не знаете используемые протокол и порт.</para>
<para>Пример также включает: <programlisting>#ACTION SOURCE DEST PROTO DEST PORT(S)
SSH/ACCEPT loc $FW </programlisting>Это правило разрешает Вам
@ -792,8 +806,8 @@ SSH/ACCEPT loc $FW </programlisting>Это правило разреш
ним с Ваших локальных систем.</para>
<para>Если Вы хотите разрешить другие соединения с Вашего файервола к
другим системам, основной формат использования макроса такой:
<programlisting>#ACTION SOURCE DEST PROTO DEST PORT(S)
другим системам, основной формат использования макроса
такой:<programlisting>#ACTION SOURCE DEST PROTO DEST PORT(S)
&lt;macro&gt;/ACCEPT $FW <emphasis>&lt;destination zone&gt;</emphasis></programlisting>Основной
формат при отсутствии предопределенных макросами действий
такой:<programlisting>#ACTION SOURCE DEST PROTO DEST PORT(S)
@ -808,7 +822,7 @@ Web/ACCEPT loc </programlisting>Эти два правила, конеч
linkend="cachingdns">Вы можете настроить Кэширующий Сервер Имен на
Вашем файерволе</link></quote>.</para>
</example>Если Вы не знаете какой порт и протокол использует конкретное
приложение, посмотрите <ulink url="ports.htm">здесь</ulink>. <important>
приложение, смотрите <ulink url="ports.htm">здесь</ulink>. <important>
<para>Я не рекоммендую разрешать <command>telnet</command> в/из
Интернет потому, что он использует открытый текст (даже для передачи
имени и пароля!). Если Вы хотите иметь доступ к командному
@ -824,8 +838,20 @@ SSH/ACCEPT net $FW</programlisting>
правила для совместимости с конфигурацией Shorewall от
Jacques.<programlisting>#ACTION SOURCE DEST PROTO DEST PORT(S)
ACCEPT loc $FW udp 53 #Allow DNS Cache to work
ACCEPT loc $FW tcp 80 #Allow Weblet to work</programlisting>
<inlinegraphic fileref="images/BD21298_.gif" format="GIF" /></para>
ACCEPT loc $FW tcp 80 #Allow Weblet to work</programlisting></para>
<itemizedlist>
<listitem>
<para>Запись 1 разрешает использование кэширующего
<acronym>DNS</acronym>.</para>
</listitem>
<listitem>
<para>Запись 2 разрешает работу <quote>weblet</quote>.</para>
</listitem>
</itemizedlist>
<para><inlinegraphic fileref="images/BD21298_.gif" format="GIF" /></para>
<para>Теперь Вы можете отредактировать Ваш файл <filename
class="directory">/etc/shorewall/</filename><filename>rules</filename>,
@ -896,12 +922,12 @@ ACCEPT loc $FW tcp 80 #Allow Weblet to work</progra
<para><inlinegraphic fileref="images/BD21298_.gif" format="GIF" /></para>
<para><ulink url="Install.htm">Процедура установки</ulink> настраивает
Вашу систему для запуска Shorewall при загрузке системе, но начиная с
Shorewall версии 1.3.9 запуск отключен, так что система не будет пытаться
запустить Shorewall до полного завершения конфигурирования. Как только Вы
полностью завершите конфигурирование Вашего файервола, Вы можете включить
запуск Shorewall путем удаления файла
<filename>/etc/shorewall/startup_disabled</filename>.<important>
Вашу систему для запуска Shorewall при загрузке системе, но запуск
остается отключен, так что система не будет пытаться запустить Shorewall
до полного завершения конфигурирования. Как только Вы полностью завершите
конфигурирование Вашего файервола, Вы можете включить запуск Shorewall,
отредактировав файл <filename>/etc/shorewall/shorewall.conf</filename> и
установив параметр <varname>STARTUP_ENABLED=Yes</varname>.<important>
<para>Пользователи пакета .deb должны отредактировать файл
<filename>/etc/default/shorewall</filename> и установить параметр
<varname>STARTUP=1.</varname></para>
@ -924,12 +950,12 @@ ACCEPT loc $FW tcp 80 #Allow Weblet to work</progra
<para><inlinegraphic fileref="images/BD21298_.gif" format="GIF" /></para>
<para>Пример с двумя интерфейсами предполагает, что Вы хотите разрешить
маршрутизацию к/из <emphasis role="bold">eth1</emphasis> (локальная сеть)
когда Shorewall остановлен. Если Ваша локальная сеть не подсоединена к
<emphasis role="bold">eth1</emphasis> или Вы не хотите разрешать доступ
к/из других хостов, измените файл <filename
маршрутизацию к/из <filename class="devicefile">eth1</filename> (локальная
сеть) когда Shorewall остановлен. Если Ваша локальная сеть не подсоединена
к <filename class="devicefile">eth1</filename> или Вы не хотите разрешать
доступ к/из других хостов, измените файл <filename
class="directory">/etc/shorewall/</filename><filename>routestopped</filename>
соответственно. <warning>
соответственно.<warning>
<para>Если Вы подсоединены к Вашему файерволу из Интернет, не
используйте команду <quote><command>shorewall stop</command></quote>
если Вы не добавили запись для <acronym>IP</acronym>-адреса, с
@ -966,15 +992,17 @@ ACCEPT loc $FW tcp 80 #Allow Weblet to work</progra
Access Point</emphasis>).<caution>
<para>Когла Вы добавляете сетевую карту, она необязательно будет
определена как следующая по порядку сетевой интерфейс. Например, если
Вы имеете две карты Ethernet в Вашей системе (<emphasis
role="bold">eth0</emphasis> и <emphasis role="bold">eth1</emphasis>) и
Вы добавляете третью карту, которая использует такой же драйвер как и
одна из имеющихся, то эта третья карта необязательно будет определена
как <emphasis role="bold">eth2</emphasis>; она может определиться как
<emphasis role="bold">eth0</emphasis> или <emphasis
role="bold">eth1</emphasis>! Вы можете оставить все как есть, либо
можете переставлять карты в слотах до тех пор, пока новая карта не
будет определена как <emphasis role="bold">eth2</emphasis>.</para>
Вы имеете две карты Ethernet в Вашей системе (<filename
class="devicefile">eth0</filename> и <filename
class="devicefile">eth1</filename>) и Вы добавляете третью карту,
которая использует такой же драйвер как и одна из имеющихся, то эта
третья карта необязательно будет определена как <filename
class="devicefile">eth2</filename>; она может определиться как
<filename class="devicefile">eth0</filename> или <filename
class="devicefile">eth1</filename>! Вы можете оставить все как есть,
либо можете переставлять карты в слотах до тех пор, пока новая карта
не будет определена как <filename
class="devicefile">eth2</filename>.</para>
</caution></para>
<para>Ваша новая сеть будет выглядеть примерно так, как показано на
@ -1003,8 +1031,8 @@ ACCEPT loc $FW tcp 80 #Allow Weblet to work</progra
<listitem>
<para>Нужно добавить запись для интерфейса беспроводной сети в файл
<filename>/etc/shorewall/interfaces</filename>. Если беспроводной
интерфейс <emphasis role="bold">wlan0</emphasis>, то запись может
выглядеть так:</para>
интерфейс <filename class="devicefile">wlan0</filename>, то запись
может выглядеть так:</para>
<programlisting>#ZONE INTERFACE BROADCAST OPTIONS
loc wlan0 detect maclist</programlisting>
@ -1022,9 +1050,10 @@ loc wlan0 detect maclist</programlisting>
<listitem>
<para>Вам необходимо добавить запись в файл
<filename>/etc/shorewall/masq</filename> для маскарадинга трафика из
беспроводной сети в Интернет. Если Ваш Интернет-интерфейс <emphasis
role="bold">eth0</emphasis> и Ваш беспроводной интерфейс <emphasis
role="bold">wlan0</emphasis>, то запись будет такой:</para>
беспроводной сети в Интернет. Если Ваш Интернет-интерфейс <filename
class="devicefile">eth0</filename> и Ваш беспроводной интерфейс
<filename class="devicefile">wlan0</filename>, то запись будет
такой:</para>
<programlisting>#INTERFACE SUBNET ADDRESS
eth0 wlan0</programlisting>