diff --git a/Shorewall-docs2/shorewall_quickstart_guide.xml b/Shorewall-docs2/shorewall_quickstart_guide.xml index 3732541fe..3d1ce55cc 100644 --- a/Shorewall-docs2/shorewall_quickstart_guide.xml +++ b/Shorewall-docs2/shorewall_quickstart_guide.xml @@ -15,7 +15,7 @@ - 2005-01-07 + 2005-12-12 2001-2005 @@ -76,8 +76,9 @@ Two-interface Linux System acting as a firewall/router for a small local network - (Version - Française) + (Version Française) + (Russian + Version) @@ -97,8 +98,7 @@ Guide outlines the steps necessary to set up a firewall where there are multiple public IP addresses involved or if you want to learn more about Shorewall than is explained in the single-address guides - above (Version - Française) + above.
@@ -110,4 +110,4 @@ servers.
- + \ No newline at end of file diff --git a/Shorewall-docs2/standalone_ru.xml b/Shorewall-docs2/standalone_ru.xml index db9268af8..757cf00da 100644 --- a/Shorewall-docs2/standalone_ru.xml +++ b/Shorewall-docs2/standalone_ru.xml @@ -40,10 +40,9 @@ Установка Shorewall на отдельной Linux системе очень проста, если Вы понимаете основы и следуете данной документации. - Это руководство не пытается познакомить Вас со всеми особенностями - Shorewall. Оно более сфокусировано на том, что требуется для - конфигурирования Shorewall в одной из его наиболее общих - конфигураций: + Это руководство не пытается ознакомить Вас со всеми особенностями + Shorewall. Оно больше сфокусировано на том, что требуется для настройки + Shorewall в наиболее типичных конфигурациях: @@ -51,25 +50,28 @@ - Один внешний IP адрес + Один внешний(публичный) IP-адрес - Соединение через кабельный модем, DSL, ISDN, Frame Relay, - dial-up... или есть соединение с LAN и Вы просто хотите защитить Вашу - Linux систему от других систем в этой LAN. + Интернет-соединение посредством кабельного модема, + DSL, ISDN, Frame Relay, + коммутирумой линии ... или есть соединение с LAN и + Вы просто хотите защитить Вашу Linux систему от других систем в этой + LAN.
- Требования + Системные требования Shorewall требует, чтобы у Вас был установлен пакет - iproute/iproute2 (на RedHat, этот пакет называется - iproute). Вы можете определить установлен ли этот - пакет по наличию программы ip на Вашем - файерволе. Как root, Вы можете использовать команду which - для проверки наличия этой программы: + iproute/iproute2 (на + RedHat, этот пакет называется + iproute). Вы можете определить установлен ли этот пакет по + наличию программы ip на Вашем файерволе. Как root, Вы + можете использовать команду which для проверки + наличия этой программы: [root@gateway root]# which ip /sbin/ip @@ -84,29 +86,34 @@ конфигурацию. - Если Вы редактируете Ваши файлы конфигурации на Windows системе, - Вы должны сохранить их как Unix файлы в том случае, если Ваш редактор + Если Вы редактируете Ваши файлы конфигурации на + Windows системе, Вы должны сохранить их как + Unix файлы в том случае, если Ваш редактор поддерживает эту возможность, иначе Вы должны пропустить их через - программу dos2unix перед тем как использовать их. Аналогично, если Вы - копируете конфигурационный файл с Вашего жесткого диска с Windows на - дискету, Вы должны воспользоваться dos2unix для копии перед ее - использованием с Shorewall. + программу dos2unix перед тем как использовать их. + Аналогично, если Вы копируете конфигурационный файл с Вашего жесткого + диска с Windows на дискету, Вы должны воспользоваться + dos2unix для копии перед ее использованием с + Shorewall. + + Windows + версия dos2unix + - - Windows - версия dos2unix - - Linux версия - dos2unix - + + Linux + версия dos2unix + +
Соглашения - Места, в которых рекомендуется вносить изменения, отмечены + Места, в которых рекомендуется вносить изменения, отмечены как .
@@ -116,11 +123,13 @@ - Если У Вас есть ADSL модем и Вы используете PPTP для взаимодействия - с сервером на этом модеме, Вы должны сделать изменения рекомендуемые здесь в дополнение к тем, что описаны в последующих - шагах. ADSL с PPTP наиболее распространен в Европе, особенно в + Если У Вас есть ADSL модем и Вы используете + PPTP для взаимодействия с сервером на этом модеме, Вы + должны сделать изменения рекоммендуемые здесь в дополнение к тем, что описаны в последующих + шагах. ADSL с + PPTP наиболее распространен в Европе, особенно в Австрии. @@ -138,11 +147,11 @@ - Если Вы при установке использовали RPM, примеры будут находится - в поддиректории Samples/one-interface/ директории с документацией - Shorewall. Если Вы не знаете где расположена директория с - документацией Shorewall, Вы можете найти примеры используя - команду: + Если Вы при установке использовали RPM, + примеры будут находится в поддиректории Samples/one-interface/ + директории с документацией Shorewall. Если Вы не знаете где + расположена директория с документацией Shorewall, Вы можете найти + примеры используя команду: ~# rpm -ql shorewall | fgrep one-interface /usr/share/doc/packages/shorewall/Samples/one-interface @@ -236,8 +245,8 @@ net ipv4 /usr/share/shorewall/actions.std, тогда это действие выполняется перед тем как . - Файл /etc/shorewall/policy входящий в пример с - одним интерфейсом имеет следующие политики: + Файл /etc/shorewall/policy, входящий в пример с + одним интерфейсом, имеет следующие политики: #SOURCE ZONE DESTINATION ZONE POLICY LOG LEVEL LIMIT:BURST $FW net ACCEPT @@ -248,18 +257,19 @@ all all REJECT info - разрешать все запросы на соединение из файервола в + разрешать все запросы на соединение с файервола в Internet; отбрасывать (игнорировать) все запросы на соединение из Internet - на Ваш файервол; + к Вашему файерволу; отвергать все другие запросы на соединение (Shorewall требует - наличия такой политики, применимой для всех запросов). + наличия такой политики, применимой для всех остальных + запросов). @@ -272,19 +282,21 @@ all all REJECT info Внешний интерфейс Файервол имеет один сетевой интерфейс. Если соединение с Internet - осуществляется при помощи кабельного или DSL Модема, the - Внешним интерфейсом будет ethernet-адаптер (eth0), который подсоединен к этому - Модему, если же Вы - соединены посредством протокола Point-to-Point Protocol over - Ethernet (PPPoE) или Point-to-Point Tunneling - Protocol (PPTP), то в этом случае Внешним - интерфейсом будет ppp0. Если - Вы подсоединены через обычный модем, Вашим Внешним - интерфейсом будет также ppp0. - Если Вы соединяетесь используя ISDN, Внешним - интерфейсом будет ippp0. + осуществляется при помощи кабельного или DSL + Модема, Внешним интерфейсом будет + ethernet-адаптер (например, eth0), + который подсоединен к этому Модему, если же Вы соединены посредством протокола + Point-to-Point Protocol over Ethernet + (PPPoE) или Point-to-Point Tunneling + Protocol (PPTP), то в этом случае + Внешним интерфейсом будет ppp интерфейс (например, ppp0). Если Вы подсоединены через обычный модем, + Вашим Внешним интерфейсом будет также ppp0. Если Вы соединяетесь используя + ISDN, Внешним интерфейсом будет + ippp0. @@ -293,34 +305,41 @@ all all REJECT info - eth0. Если Ваша конфигурация отличается, Вам необходимо изменить файл примера /etc/shorewall/interfaces соответственно. Пока Вы здесь, Вы возможно захотите просмотреть список - опций, специфичных для интерфейса. Несколько подсказок: + опций, специфичных для интерфейса. Вот несколько подсказок: Если Ваш внешний интерфейс ppp0 или ippp0, Вы можете заменить detect(обнаружить) во втором столбце на - -. + -(знак минус в ковычках). Если Ваш внешний интерфейс ppp0 - или ippp0 или Вы имеете статический IP - адрес, Вы можете удалить dhcp из списка опций. + или ippp0 или Вы имеете статический + IP-адрес, Вы можете удалить dhcp из + списка опций.
- IP адреса + IP-адреса - Перед тем как идти дальше, мы должны сказать несколько слов о IP - адресах. Обычно, Ваш ISP назначает Вам один IP адрес. Этот адрес может - быть назначен статически, при помощи Dynamic Host Configuration Protocol - (DHCP), в процессе установки Вами коммутированного соединения, или при - установке Вами другого типа PPP соединения (PPPoA, PPPoE и т.д.). + Перед тем как идти дальше, мы должны сказать несколько слов о + Internet Protocol (IP)-адресах. + Обычно, Ваш Интернет-провайдер (Internet Service + Provider - ISP) назначает Вам один + IP-адрес. Этот адрес может быть назначен статически, + при помощи Протокола Динамического Конфигурирования Хостов + (Dynamic Host Configuration Protocol - + DHCP), в процессе установки Вами коммутированного + соединения (обычный модем), или при установке Вами другого типа + PPP соединения (PPPoA, + PPPoE и т.д.). - RFC 1918 резервирует несколько Частных - (Private) IP диапазонов адресов для использования в частных - сетях: + RFC-1918 резервирует несколько диапазонов + Частных (Private) IP-адресов для + использования в частных сетях: 10.0.0.0 - 10.255.255.255 172.16.0.0 - 172.31.255.255 @@ -328,16 +347,17 @@ all all REJECT info На эти адреса иногда ссылаются как на немаршрутизируемые потому, что магистральные - маршрутизаторы Internet не переправляют пакеты, адреса назначения которых - зарезервированы RFC 1918. Хотя в некоторых случаях, ISPs назначающие эти - адреса, используют затем Преобразование Сетевых Адресов (Network - Address Translation) для перезаписи заголовков пакетов при - перенаправлении в/из Internet. + маршрутизаторы Интернет не переправляют пакеты, адреса назначения которых + зарезервированы RFC-1918. Хотя в некоторых случаях, + ISPs назначающие эти адреса, используют затем + Преобразование Сетевых Адресов (Network Address Translation - + NAT) для перезаписи заголовков пакетов при + перенаправлении в/из Интернет. Перед запуском Shorewall, Вы должны взглянуть - на IP адрес Вашего внешнего интерфейса и, если он принадлежит одному из + на IP-адрес Вашего внешнего интерфейса и, если он принадлежит одному из указанных выше диапазонов, Вы должны удалить опцию norfc1918 из записи в /etc/shorewall/interfaces. @@ -346,12 +366,15 @@ all all REJECT info
Разрешение других соединений - Shorewall включает коллекцию макросов, которые могут использованы - для быстрого разрешения или запрещения служб. Вы можете найти список - макросов включенный в Вашу версия Shorewall при помощи команды ls - /usr/share/shorewall/macro.*. + Shorewall включает коллекцию макросов, которые могут быть + использованы для быстрого разрешения или запрещения служб. Вы можете найти + список макросов включенный в Вашу версия Shorewall при помощи + команды: - Если Вы хотите разрешить соединения из Internet на Ваш файервол и Вы + ls + /usr/share/shorewall/macro.* + + Если Вы хотите разрешить соединения из Интернет на Ваш файервол и Вы нашли соответствующий макрос в /etc/shorewall/macro.*, то общий формат правила в /etc/shorewall/rules такой: @@ -360,7 +383,7 @@ all all REJECT info <macro>/ACCEPT net $FW - Вы хотите запустить Web сервер и IMAP сервер на Вашем + <title>Вы хотите запустить Web-сервер и IMAP-сервер на Вашем файерволе: #ACTION SOURCE DESTINATION PROTO DEST PORT(S) @@ -378,7 +401,7 @@ IMAP/ACCEPT net $FW ACCEPT net $FW <protocol> <port> - Вы хотите запустить Web сервер и IMAP сервер на Вашем + <title>Вы хотите запустить Web-сервер и IMAP-сервер на Вашем файерволе: #ACTION SOURCE DESTINATION PROTO DEST PORT(S) @@ -390,10 +413,10 @@ ACCEPT net $FW tcp 143 приложение, смотрите здесь. - Я не рекоммендую разрешать telnet в/из Internet потому, что он + Я не рекоммендую разрешать telnet в/из Интернет потому, что он использует открытый текст (даже для передачи имени и пароля!). Если Вы хотите иметь доступ к командному интерпретатору Вашего файервола из - Internet, используйте SSH: + Интернет, используйте SSH: #ACTION SOURCE DESTINATION PROTO DEST PORT(S) SSH/ACCEPT net $FW @@ -411,7 +434,7 @@ SSH/ACCEPT net $FW - Процедура установки конфигурирует + Процедура установки настраивает Вашу систему для запуска Shorewall при загрузке системе, но начиная с Shorewall версии 1.3.9 запуск отключен, так что система не будет пытаться запустить Shorewall до полного завершения конфигурирования. Как только Вы @@ -422,7 +445,7 @@ SSH/ACCEPT net $FW Пользователи пакета .deb должны отредактировать /etc/default/shorewall и установить - startup=1. + startup=1. @@ -439,37 +462,37 @@ SSH/ACCEPT net $FW url="Documentation.htm#Routestopped">/etc/shorewall/routestopped. Запущенный файервол может быть перезапущен при помощи команды shorewall restart. Если Вы хотите - полностью удалить следы присутствия Shorewall из конфигурации Вашего - Netfilter, используйте shorewall + полностью удалить изменения сделанные Shorewall из конфигурации Вашего + Netfilter, используйте команду shorewall clear. - Если Вы подсоединены к Вашему файерволу из Internet, не + Если Вы подсоединены к Вашему файерволу из Интернет, не используйте команду shorewall stop - если Вы не добавили запись для IP адреса, с которого Вы подсоединены, в - IP-адреса, с которого + Вы подсоединены, в /etc/shorewall/routestopped. Также, я не рекоммендую использовать shorewall restart; лучше создать альтернативную - конфигурацию и протестировать ее при помощи команды и протестировать ее при помощи команды + shorewall try.
- Дополнительно рекомендуемая литература + Дополнительно рекоммендуемая литература Я особо рекоммендую просмотреть Вам страницу Особенностей Общих Фалов - Конфигурации -- она содержит полезную информацию об особенностях + Конфигурации -- она содержит полезные советы об особенностях Shorewall, делающую администрирование Вашего файервола проще.
- Обзор истории + История пересмотров @@ -479,7 +502,7 @@ SSH/ACCEPT net $FW TE - More 3.0 Updates + Больше обновлений для 3.0 @@ -489,7 +512,7 @@ SSH/ACCEPT net $FW CR - Update for Shorewall 3.0 + Обновление для Shorewall 3.0 @@ -499,7 +522,7 @@ SSH/ACCEPT net $FW TE - Change reference to rfc1918 to bogons. + Исправлена неверная ссылка на rfc1918. @@ -509,7 +532,7 @@ SSH/ACCEPT net $FW TE - Move /etc/shorewall/rfc1918 to + Файл /etc/shorewall/rfc1918 перемещен в /usr/share/shorewall. @@ -520,7 +543,7 @@ SSH/ACCEPT net $FW TE - Update for Shorewall 2.0 + Обновление для Shorewall 2.0 @@ -530,7 +553,7 @@ SSH/ACCEPT net $FW TE - Standards Changes + Стандартные изменения @@ -540,7 +563,8 @@ SSH/ACCEPT net $FW TE - Add tip about /etc/shorewall/rfc1918 updates. + Добавлен срвет по обновлению + /etc/shorewall/rfc1918. @@ -550,7 +574,7 @@ SSH/ACCEPT net $FW TE - Initial Docbook Conversion + Начальное преобразование DocBook diff --git a/Shorewall-docs2/two-interface_ru.xml b/Shorewall-docs2/two-interface_ru.xml new file mode 100644 index 000000000..6b6a98c33 --- /dev/null +++ b/Shorewall-docs2/two-interface_ru.xml @@ -0,0 +1,1036 @@ + + + +
+ + Основной файервол с двумя интерфейсами + + + Tom + + Eastep + + + 2005-11-10 + + + 2002- + + 2005 + + Thomas M. Eastep + + + + Permission is granted to copy, distribute and/or modify this + document under the terms of the GNU Free Documentation License, Version + 1.2 or any later version published by the Free Software Foundation; with + no Invariant Sections, with no Front-Cover, and with no Back-Cover + Texts. A copy of the license is included in the section entitled + GNU Free Documentation + License. + + + + + Эта статья применима для Shorewall версии 3.0 + и выше. Если Вы работаете с более ранней версией Shorewall чем Shorewall + 3.0.0, тогда смотрите документацию для этого выпуска. + + +
+ Введение + + Установка Linux системы как файервола для небольшой сети довольно + простая задача, если Вы понимаете основы и следуете документации. + + Это руководство не пытается ознакомить Вас со всеми особенностями + Shorewall. Оно больше сфокусировано на том, что требуется для настройки + Shorewall в наиболее типичных конфигурациях: + + + + Linux система, используемая как файервол/маршрутизатор для + небольшой локальной сети. + + + + Один внешний(публичный) + IP-адрес. Если Вы имеете более одного публичного + IP-адреса, это руководство не то, что Вам нужно. + Смотрите вместо этого Руководство по установке + Shorewall. + + + + Интернет-соединение посредством кабельного модема, + DSL, ISDN, Frame Relay, + коммутирумой линии ... + + + + Вот схема типичной установки:
+ Общая конфигурация файервола с двумя интерфейсами + + + + + + +
+ +
+ Системные требования + + Shorewall требует, чтобы у Вас был установлен пакет + iproute/iproute2 (на + RedHat, этот пакет называется + iproute). Вы можете определить установлен ли этот пакет по + наличию программы ip на Вашем файерволе. Как root, Вы + можете использовать команду which для проверки + наличия этой программы:[root@gateway root]# which ip +/sbin/ip +[root@gateway root]# +
+ +
+ Перед тем как начать + + Я рекомендую Вам прочитать все руководство для первоначального + ознакомления, а лишь затем пройти его снова, внося изменения в Вашу + конфигурацию. + + + Если Вы редактируете Ваши файлы конфигурации на + Windows системе, Вы должны сохранить их как + Unix файлы в том случае, если Ваш редактор + поддерживает эту возможность, иначе Вы должны пропустить их через + программу dos2unix перед тем как использовать их. + Аналогично, если Вы копируете конфигурационный файл с Вашего жесткого + диска с Windows на дискету, Вы должны воспользоваться + dos2unix для копии перед ее использованием с + Shorewall. + + Windows + версия dos2unix + + + + Linux + версия dos2unix + + + +
+ +
+ Соглашения + + Места, в которых рекомендуется вносить изменения, отмечены как + . + + Замечания по настройке уникальные для проекта LEAF/Bering, + отмечены как . +
+
+ +
+ PPTP/ADSL + + + + Если У Вас есть ADSL модем и Вы используете + PPTP для взаимодействия с сервером на этом модеме, Вы + должны сделать изменения рекоммендуемые здесь в дополнение к тем, что описаны в последующих + шагах. ADSL с + PPTP наиболее распространен в Европе, особенно в + Австрии. +
+ +
+ Концепции Shorewall + + + + Конфигурационные файлы Shorewall находятся в директории /etc/shorewall -- в случае простой установки + Вам необходимо иметь дело только с немногими из них, как описано в этом + руководстве. После того как Вы установили + Shorewall, Вы можете найти Примеры файлов настроек в следующих + местах: + + + + Если Вы при установке использовали RPM, + примеры будут находится в поддиректории Samples/two-interface/ + директории с документацией Shorewall. Если Вы не знаете где + расположена директория с документацией Shorewall, Вы можете найти + примеры используя команду: + + ~# rpm -ql shorewall | fgrep two-interfaces +/usr/share/doc/packages/shorewall/Samples/two-interfaces +/usr/share/doc/packages/shorewall/Samples/two-interfaces/interfaces +/usr/share/doc/packages/shorewall/Samples/two-interfaces/masq +/usr/share/doc/packages/shorewall/Samples/two-interfaces/policy +/usr/share/doc/packages/shorewall/Samples/two-interfaces/routestopped +/usr/share/doc/packages/shorewall/Samples/two-interfaces/rules +/usr/share/doc/packages/shorewall/Samples/two-interfaces/zones +~# + + + + Если Вы установили Shorewall из tarball'а, примеры находятся в + директории Samples/two-interface внутри tarball'а. + + + + Если же Вы пользовались пакетом .deb, примеры находятся в + /usr/share/doc/shorewall/examples/two-interface. + + + + + Замечание для пользователей + Debian + + Если Вы при установке пользовались .deb, Вы обнаружите, что + директория /etc/shorewall пуста. + Это сделано специально. Поставляемые шаблоны файлов конфигурации Вы + найдете на вашей системе в директории /usr/share/doc/shorewall/default-config. + Просто скопируйте нужные Вам файлы из этой директории в /etc/shorewall и отредактируйте + копии. + + Заметьте, что Вы должны скопировать /usr/share/doc/shorewall/default-config/shorewall.conf + и /usr/share/doc/shorewall/default-config/modules в /etc/shorewall даже если Вы не будете + изменять эти файлы. + + + По мере того как мы будем знакомится с каждым файлом, я надеюсь, что + Вы просмотрите реальный файл на вашей системе -- каждый файл содержит + детальное описание конфигурационных инструкций и значений по + умолчанию. + + Shorewall видит сеть, в которой он работает, как состоящую из набора + зон(zones). В случае примера конфигурации с одним + интерфейсом, только две зоны определены: + + #ZONE TYPE OPTIONS IN OUT +# OPTIONS OPTIONS +fw firewall +net ipv4 +loc ipv4 + + Зоны Shorewall описаны в файле /etc/shorewall/zones. + + Заметьте, что Shorewall рассматривает систему файервола как свою + собственную зону. Имя зоны файервола (fw + в примере выше) храниться в переменной shell $FW, + которая может использоваться во всей конфигурации Shorewall для ссылки на + сам файервол. + + Правила о том какой трафик разрешен, а какой запрещен выражаются в + терминах зон. + + + + Вы отражаете Вашу политику по умолчанию для соединений из одной + зоны в другую в файле/etc/shorewall/policy. + + + + Вы определяете исключения из политики по умолчанию в файле + /etc/shorewall/rules. + + + + Для каждого запроса на соединение входящего в файервол, запрос + сначала проверяется на соответствие файлу + /etc/shorewall/rules. Если в этом файле не найдено + правил соответствующих запросу на соединение, то применяется первая + политика из файла /etc/shorewall/policy, которая + соответсвует запросу. Если есть общее действие (common + action) определенное для политики в файле + /etc/shorewall/actions или + /usr/share/shorewall/actions.std, тогда это действие + выполняется перед тем как . + + Файл /etc/shorewall/policy, входящий в пример с + двумя интерфейсами, имеет следующие политики: + + #SOURCE DEST POLICY LOG LEVEL LIMIT:BURST +loc net ACCEPT +net all DROP info +all all REJECT info + + В примере с двумя интерфейсами строка показанная внизу + закомментирована. Если Вы хотите, чтобы Ваш файервол имел полный доступ к + серверам Интернет, раскомментируйте эту строчку. #SOURCE DEST POLICY LOG LEVEL LIMIT:BURST +$FW net ACCEPTПолитики приведенные выше + будут: + + + + разрешать все запросы на соединение из Вашей локальной сети в + Интернет; + + + + отбрасывать (игнорировать) все запросы на соединение из Интернет + к Вашему файерволу или локальной сети; + + + + Опционально разрешать все запросы на соединение с файервола в + Интернет (если Вы раскомментировали дополнительную политику); + + + + отвергать все другие запросы на соединение (Shorewall требует + наличия такой политики, применимой для всех остальных + запросов). + + + + + + Важно отметить, что политики Shorewall (и правила) ссылаются на + соединения, а не на поток пакетов. С + политикой определенной в файле + /etc/shorewall/policy, показанной выше, разрешены соединения из + зоны loc в зону net, хотя на сам файервол + соединения из зоны loc не разрешены. + + В данный момент Вы можете отредактировать ваш файл + /etc/shorewall/policy и внести изменения, какие Вы + считаете необходимыми. +
+ +
+ Сетевые интерфейсы + + + + + + + + Файервол имеет два сеиевых интерфейса. Если соединение с Интернет + осуществляется при помощи кабельного или DSL + Модема, Внешним интерфейсом будет тот + ethernet-адаптер (например, eth0), + который подсоединен к этому Модему, если же Вы соединены посредством протокола + Point-to-Point Protocol over Ethernet + (PPPoE) или Point-to-Point Tunneling + Protocol (PPTP), то в этом случае + Внешним интерфейсом будет ppp интерфейс (например, ppp0). Если Вы подсоединены через обычный модем, + Вашим Внешним интерфейсом будет также ppp0. Если Вы соединяетесь используя + ISDN, Внешним интерфейсом будет + ippp0. + + + + Если Ваш внешний интерфейс - это ppp0 или ippp0, тогда Вы можете захотеть установить + переменную CLAMPMSS=yes в /etc/shorewall/shorewall.conf. + + Ваш Внешний интерфейс будет ethernet-адаптер + (eth1 or eth0) и будет соединен с хабом или коммутатором. Другие Ваши компьютеры будут + соединены с тем же хабом/коммутатором (заметьте: если Вы имеете только одну + внутреннюю систему, Вы можете соединить файервол с этим компьютером + напрямую, используя кроссоверный (cross-over) кабель. + Не подсоединяйте внутренний и внешний + интерфейсы к одному т тому же хабу или коммутатору исключая время + тестирование.Вы можете провести тестирование используя + данную конфигурацию, если Вы указали параметр + ARP_FILTER в /etc/shorewall/interfaces + для всех интерфейсов подсоединенных к общему хабу/коммутатору. + Использовать такие установки на рабочем + файерволе строго не рекоммендуется. + + + Пример конфигурации Shorewall с двумя интерфейсами подразумевает, + что внешний интерфейс - это eth0, а + внутренний - eth1. Если Ваша конфигурация + отличается, Вы должны будете изменить пример файл /etc/shorewall/interfaces + соответственно. Пока Вы здесь, Вы возможно захотите просмотреть список + опций, специфичных для интерфейса. Вот несколько подсказок: + Если Ваш внешний интерфейс ppp0 + или ippp0, Вы можете заменить + detect(обнаружить) во втором столбце на + -(знак минус в ковычках). + + Если Ваш внешний интерфейс ppp0 + или ippp0 или Вы имеете статический + IP-адрес, Вы можете удалить dhcp из + списка опций. + + Если Ваш внешний интерфейс является мостом, созданным с + использованием утилиты brctl, тогда Вы должны добавить опцию routeback в + список опций. + +
+ +
+ IP-адреса + + Перед тем как идти дальше, мы должны сказать несколько слов о + Internet Protocol (IP)-адресах. + Обычно, Ваш Интернет-провайдер(Internet Service + Provider - ISP) назначает Вам один + IP-адрес. Этот адрес может быть назначен статически, + при помощи Протокола Динамического Конфигурирования Хостов + (Dynamic Host Configuration Protocol - + DHCP), в процессе установки Вами коммутированного + соединения (обычный модем), или при установке Вами другого типа + PPP соединения (PPPoA, + PPPoE и т.д.). В последнем случае Ваш + ISP может назначит Вам статический + IP-адрес; что означает, что Вы настраиваете внешний + интерфейс Вашего файервола на использование этого адреса постоянно. Как бы + ни был назначен Вам внешний адрес, он будет разделяться между всеми Вашими + системами при доступе в Интернет. Вы должны будете назначить свои + собственные адреса в Вашей внутренней сети (внутренний интерфейс на Вашем + файерволе плюс другие Ваши компьютеры). RFC-1918 + резервирует несколько Частных (Private) + IP-адресов для этих целей: 10.0.0.0 - 10.255.255.255 +172.16.0.0 - 172.31.255.255 +192.168.0.0 - 192.168.255.255 + + Перед запуском Shorewall, Вы должны взглянуть + на IP-адрес Вашего внешнего интерфейса и если он входит в один указанных + выше пазонов, Вы должны удалить опцию 'norfc1918' из строки для внешнего + интерфейса в файле /etc/shorewall/interfaces. + + Вы можете захотеть назначить Ваши адреса из такой же подсети + (subnet). Для наших целей мы можем рассматривать подсеть состоящую из + диапазона адресов x.y.z.0 - x.y.z.255. Такая подсеть + будет иметь Маску Подсети (Subnet + Mask) - 255.255.255.0. + Адрес x.y.z.0 зарезервирован как Адрес + Подсети (Subnet Address), а x.y.z.255 как + Широковещательный Адрес Подсети (Subnet Broadcast + Address). В Shorewall подсеть описывается с использованием + нотации Бесклассовой + Междоменной Маршрутизации (Classless InterDomain Routing - CIDR + notation) с адресом посети оканчивающимся /24. + 24 указывает число непрерывных ведущих бит установленных в + 1 слева в маске подсети. + + + + + + Диапазон: + + 10.10.10.0 - + 10.10.10.255 + + + + Адрес + подсети: + + 10.10.10.0 + + + + Широковещательный + адрес: + + 10.10.10.255 + + + + нотация + CIDR: + + 10.10.10.0/24 + + + + Удобно назначать внутреннему интерфейсу либо первый + используемый адрес подсети (10.10.10.1 в примере выше), либо последний + используемый адрес (10.10.10.254). + + Одна из целей разбиения на подсети - это позволить всем компьютерам + в подсети понимать с какими другими компьютерами можно взаимодействовать + напрямую. При взаимодействии с системами находящимися вне подсети, системы + посылают пакеты через шлюз (маршрутизатор) (gateway + (router). + + + + Ваши локальные компьютеры (computer 1 и computer 2 на диаграмме + выше) должны быть сконфигурированы так, чтобы + IP-адресом их маршрутизатора по умолчанию был + IP-адрес внутреннего интерфейса файервола. + + Короткая предшествующая дискуссия лишь поверхностно затронула + вопросы связанные с подсетями и маршрутизацией. Если Вы заинтересованы + узнать больше об IP-адресации и маршрутизации, я очень + рекомендую Основы IP: Что нужно знать каждому об адресации и + маршрутизации (IP Fundamentals: What Everyone Needs to Know + about Addressing & Routing), Thomas A. Maufer, Prentice-Hall, + 1999, ISBN 0-13-975483-0 (link). + + Оставшаяся часть руководства расчитана на то, что Вы имеете сеть, + сконфигурированную так, как показано здесь: + + + + Маршрутизатором по умолчанию для computer 1 и 2 должен + быть 10.10.10.254. + Ваш ISP может назначить Вашему внешнему + интерфейсу адрес из RFC-1918. Если этот адрес из + подсети 10.10.10.0/24, + тогда Вы должны будете выделить ДРУГУЮ подсеть + RFC-1918 для вашей локальной + подсети. + +
+ +
+ IP-маскарадинг (SNAT) + + Адреса зарезервированные RFC-1918 иногда называют + немаршрутизируемыми потому, что магистральные маршрутизаторы Интернет не + переправляют пакеты, которые имеют адрес назначения из + RFC-1918. Когда одна из Ваших локальных систем + (допустим computer 1) посылает запрос на соединение хосту в Интернете, + файервол должен выполнить Трансляцию Сетевого Адреса (Network + Address Translation - NAT). Файервол + перезаписывает адрес источника в пакете адресом внешнего интерфейса + файервола; другими словами, файервол делает так, чтобы это выглядело как + файервол сам инициируетсоединение. Это необходимо так как хост назначения + должен быть способен направить пакеты назад файерволу через маршрутизаторы + (вспомним, что пакеты с адресом назначения зарезервированным + RFC-1918 не могут быть маршрутизированы через Интернет + и следовательно удаленный хост не сможет адресовать ответ на computer 1). + Когда файервол принимает ответный пакет, он перезаписывает адрес + назначения обратно в 10.10.10.1 + и переправляет пакет на computer 1. + + На Linux системах, описанный выше процесс называют + IP-маскарадингом (IP Masquerading), но Вы будете + также встречать термин Преобразование Сетевого Адреса Источника + (Source Network Address Translation - SNAT). + Shorewall следует соглашению используемому Netfilter: + + Masquerade описывает случай, когда Вы + позволяете своему файерволу автоматически определять адрес внешнего + интерфейса. + + + + SNAT используют в случае, когда Вы + определенно указываете адрес источника, который Вы хотите + использовать для покидающих Вашу локальную сеть пакетов. + + В Shorewall оба режима Маскарадинг + (Masquerading) и SNAT конфигурируются + записями в файле /etc/shorewall/masq. Вы + будете обычно использовать Маскарадинг, если Ваш внешний + IP-адрес - динамический и SNAT, если + внешний IP-адрес - статический. + + + + Если Ваш внешний интерфейс файервола - eth0, Вам не нужно изменять файл из примера. В + противном случае, отредактируйте /etc/shorewall/masq и + измените первый столбец на имя Вашего внешнего интерфейса и второй столбец + на имя Вашего внутреннего интерфейса. + + + + Если Ваш внешний IP-адрес - статический, Вы + можете ввести его в третьем столбце записи файла /etc/shorewall/masq если + Вам нравиться, хотя Ваш файервол будет прекрасно работать, даже если Вы + оставите этот столбец пустым. Вводя Ваш статический + IP-адрес в третьем столбце, Вы делаете обработку + исходящих пакетов немного более эффективной. + + + + Если Вы используете пакет Debian, проверьте + пожалуйста Ваш файл shorewall.conf, чтобы убедиться, + что следующее установлено правильно; если нет, измените это + соответственно: + + IP_FORWARDING=On + + +
+ +
+ Перенаправление портов (DNAT) + + Одной из Ваших целей может быть запуск одного или более серверов на + Ваших локальных компьютерах. Так как эти компьютеры имеют адреса из + RFC-1918, то клиентам из Интернет невозможно + соединиться напрямую с ними. Это более невозможно для тех клиентов, кто + адресует свои запросы для соединения на файервол, который переписывает + адрес назначения на адрес Вашего сервера и переправляет пакет на этот + сервер. Когда Ваш сервер отвечает, файервол автоматически выполняет + SNAT для перезаписи адреса источника в ответе. + + Описанный выше процесс называется Перенапрвление Портов + (Port Forwarding) или Преобразование Сетевого Адреса + Назначения (Destination Network Address Translation - + DNAT). Вы настраиваете перенаправление портов при + помощи правил DNAT в файле /etc/shorewall/rules. + + Основная форма примерного правила перенаправления портов в /etc/shorewall/rules + такая: #ACTION SOURCE DEST PROTO DEST PORT(S) +DNAT net loc:<server local ip address>[:<server port>] <protocol> <port>Shorewall + имеет макрос (macros) для многих + популярных приложений. Смотрите в + /user/share/shorewall/macro.*, чтобы увидеть, что + доступно в Вашем релизе. Макрос упрощает создание правил + DNAT предоставляя протокол и порт(ы) как показано + ниже. + + + Web-сервер + + Вы запускаете Web-сервер на computer 2 и Вы хотите перенаправить + входящие на порт 80 TCP-пакеты на эту систему: + #ACTION SOURCE DEST PROTO DEST PORT(S) +Web/DNAT net loc:192.168.1.5 + + FTP-сервер + + Вы запустили FTP-сервер на computer 1, так + что Вы хотите перенаправить входящие на порт 21 + TCP-пакеты на эту систему: #ACTION SOURCE DEST PROTO DEST PORT(S) +FTP/DNAT net loc:10.10.10.1Для FTP + Вы должны также буете иметь отслеживание FTP + соединений (connection tracking) и поддержку NAT в + Вашем ядре. Для ядер, предоставляемых продавцами дистрибутивов, это + означает, что должны быть загружены модули ip_conntrack_ftp и ip_nat_ftp. Shorewall автоматически + загрузит эти модули если они доступны и расположены в стандартных + местах внутри /lib/modules/<kernel + version>/kernel/net/ipv4/netfilter. + Нужно иметь в виду пару важных моментов: + + Вы должны протестировать приведенные выше правила для клиентов + вне Вашей локальной сети (т.е., не тестировать из браузера, + запущенного на computer 1 или 2 или на файерволе). Если Вы хотите + иметь доступ к Вашему Web-серверу и/или + FTP-серверу с Вашего файервола, используя + IP-адрес Вашего внешнего интерфейса, смотрите + Shorewall FAQ #2. + + + + Многие ISP блокируют входящие запросы для + соединения на порт 80. Если у Вас есть проблемы при соединении с + Вашим Web-сервером, попробуйте следующее правило и попытайтесь + соединиться с портом 5000. + + #ACTION SOURCE DEST PROTO DEST PORT(S) +DNAT net loc:10.10.10.2:80 tcp 5000 + + + + В этом месте измените /etc/shorewall/rules + добавив любое правило DNAT, какое Вам + необходимо. + + + Когда тестируете правила DNAT похожие на те, + что приведены выше, Вы должны тестировать с клиента ИЗВНЕ ВАШЕГО + ФАЙЕРВОЛА (в зоне net). Вы не можете протестировать эти + правила изнутри файервола! + + Советы по разрешению проблем с DNAT, смотрите в + FAQs 1a и 1b. + +
+ +
+ Сервер Доменных Имен (Domain Name Server - DNS) + + Обычно, когда Вы соединяетесь с Вашим ISP, как + часть получения IP-адреса будет автоматически настроен + резольвер Сервиса Доменных Имен (Domain Name Service + - DNS) Вашего файервола (например, будет записан файл + /etc/resolv.conf). Как + альтернатива, Ваш ISP может сообщить Вам + IP-адреса пары DNS-серверов, чтобы + Вы вручную указали их как Ваши первичный и вторичный сервера имен. Вне + зависимости от того как Вы настроете DNS на Вашем + файерволе, на Вас лежит ответственность за то как будет настроен резольвер + на Ваших внутренних системах. Вы можете применить один из двух подходов: + + + Вы можете настроить Ваши внутренние системы на использование + серверов имен Вашего ISP. Если Ваш + ISP дал Вам адреса этих серверовthe или если эти + адреса доступны на Web-сайте, Вы можете настроить Ваши внутренние + системы на использование этих адресов. Если эта информация + недоступна, загляните в /etc/resolv.conf + на Вашем файерволе -- сервера имен указаны в записях + nameserver этого файла. + + + + Вы можете настроить + Кэширующий Сервер Имен (Caching Name Server) на + Вашем файерволе. Red Hat имеет + RPM для кэширующего сервера имен (этому + RPM также необходим пакет + bindRPM), а для пользователей + Bering существует dnscache.lrp. Если Вы пойдете + этим путем, Вы настраиваете Ваши внутренние системы на использование + самого файервола как первичного (и только) сервера имен. Вы + используете внутренний IP-адрес файервола + (10.10.10.254 в примере + выше) для адреса сервера имен. Чтобы позволить Вашим локальным + системам общаться с Вашим кэширующим сервером имен, Вы должны + открыть доступ к порту 53 (оба UDP и + TCP) на файерволе из внутренней сети; Вы можете + сделать это, добавив следующее правило в файл /etc/shorewall/rules. + #ACTION SOURCE DEST PROTO DEST PORT(S) +DNS/ACCEPT loc $FW + + +
+ +
+ Другие соединения + + Пример с двумя интерфейсами включает следующие правила: + #ACTION SOURCE DEST PROTO DEST PORT(S) +DNS/ACCEPT $FW netЭто правило разрешает доступ к + DNS с Вашего файервола и может быть удалено, если Вы + раскомментировали строку в /etc/shorewall/policy, + разрешающую все соединения с файервола в Интернет. + + В показанном выше правиле DNS/ACCEPT - это пример + привлечения макроса (macro invocation). Shorewall + включает множество макросов (смотри + /usr/share/shorewall/macro.*) и Вы можете добавить Ваш собственный. + + Вам не обязательно использовать предопределенные макросы при + написании правил /etc/shorewall/rules; Shorewall + будет запускаться немного быстрее, если Вы будете писать Ваши правила + напрямую, чем при использовании макросов. Правил, показанное выше может + быть также написано как:#ACTION SOURCE DEST PROTO DEST PORT(S) +ACCEPT $FW net udp 53 +ACCEPT $FW net tcp 53 + + В случаях когда Shorewall не имеет предопределенных макросов, + отвечающих Вашим потребностям, Вы можете либо определить свой собственный + макрос, либо просто записать соответствующие правила напрямую. + + Пример также включает: #ACTION SOURCE DEST PROTO DEST PORT(S) +SSH/ACCEPT loc $FW Это правило разрешает Вам + запускать SSH-сервер на Вашем файерволе и соединяться с + ним с Ваших локальных систем. + + Если Вы хотите разрешить другие соединения с Вашего файервола к + другим системам, основной формат использования макроса такой: + #ACTION SOURCE DEST PROTO DEST PORT(S) +<macro>/ACCEPT $FW <destination zone>Основной + формат при отсутствии предопределенных макросами действий + такой:#ACTION SOURCE DEST PROTO DEST PORT(S) +ACCEPT $FW <destination zone> <protocol> <port> + Web-сервер на файрволе + + Вы хотите запустить Web-сервер на Вашем файерволе: + #ACTION SOURCE DEST PROTO DEST PORT(S) +Web/ACCEPT net $FW +Web/ACCEPT loc Эти два правила, конечно, должны быть + добавлены к тем правилам, которые указаны выше в абзаце Вы можете настроить Кэширующий Сервер Имен на + Вашем файерволе. + Если Вы не знаете какой порт и протокол использует конкретное + приложение, посмотрите здесь. + Я не рекоммендую разрешать telnet в/из + Интернет потому, что он использует открытый текст (даже для передачи + имени и пароля!). Если Вы хотите иметь доступ к командному + интерпретатору Вашего файервола из Интернет, используйте + SSH: + + #ACTION SOURCE DEST PROTO DEST PORT(S) +SSH/ACCEPT net $FW + + + Пользователи дистрибутива Bering захотят добавить следующие два + правила для совместимости с конфигурацией Shorewall от + Jacques.#ACTION SOURCE DEST PROTO DEST PORT(S) +ACCEPT loc $FW udp 53 #Allow DNS Cache to work +ACCEPT loc $FW tcp 80 #Allow Weblet to work + + + Теперь Вы можете отредактировать Ваш файл /etc/shorewall/rules, + добавляя или удаляя другие соединения по необходимости. +
+ +
+ Что нужно помнить + + + + Вы не можете Ваш файервол + изнутри. Только потому, что Вы посылаете запросы на внешний + IP-адрес Вашего файервола не означает, что запросы + будут ассоциированы с внешним интерфейсом или зоной + net. Любой трафик, создаваемый из локальной сети будет + ассоциироваться с Вашим локальным интерфейсом и будет воспринят как + трафик loc->fw. + + + + IP-адреса - это свойства систем, а не + интерфейсов. Ошибочно верить, что Ваш файервол способен + переправит пакеты только потому, что Вы можете пропинговать + IP-адрес всех интерфейсов файервола из локальной + сети. Единственное заключение, которое Вы можете вынести из такого + успешного пингования - это наличие рабочей связи между локальной + системой и файерволом и то, что Вы, возможно, правильно указали + маршрутизатор по умолчанию на локальной системе. + + + + Все IP-адреса, настроенные на интерфейсах + файервола, принадлежат зоне $FW (fw). Если 192.168.1.254 - + это IP-адрес Вашего внутреннего интерфейса, то Вы + можете написать $FW:192.168.1.254 в правиле, но Вы не + можете написать loc:192.168.1.254. Также не играет роли + добавление адреса 192.168.1.254 в зону loc при помощи записи в файле + /etc/shorewall/hosts. + + + + Ответные пакеты НЕ следуют автоматически + обратно тем маршрутом, который использовал исходный запрос. + Все пакеты маршрутизируются согласно таблице маршрутизации каждого + хоста на всем пути. Этот вопрос обычно встает когда людч устанавливают + файервол Shorewall параллельно с имеющимся шлюзом и пытаются + использовать DNAT сквозь Shorewall без изменения + шлюза по умолчанию системы, принимающей переправленные запросы. + Запросы проходят сквозь файервол Shorewall, где изменяется + IP-адрес назначения, но ответы уходят неизмененными + через старый шлюз. + + + + Shorewall сам не имеет представления о + внутренней и внешней стороне. Воплощение этих концепций + зависит от того, как настроен Shorewall. + + +
+ +
+ Запуск и останов Вашего файервола + + + + Процедура установки настраивает + Вашу систему для запуска Shorewall при загрузке системе, но начиная с + Shorewall версии 1.3.9 запуск отключен, так что система не будет пытаться + запустить Shorewall до полного завершения конфигурирования. Как только Вы + полностью завершите конфигурирование Вашего файервола, Вы можете включить + запуск Shorewall путем удаления файла + /etc/shorewall/startup_disabled. + Пользователи пакета .deb должны + отредактировать /etc/default/shorewall и + установить startup=1. + + Вы должны разрешить запуск путем + редактирования /etc/shorewall/shorewall.conf и установки + STARTUP_ENABLED=Yes. + Файервол запускается при помощи команды + shorewall start и останавливается при + помощи shorewall stop. Когда файервол + остановливается, маршрутизация разрешается на те хосты, которые указаны в + /etc/shorewall/routestopped. + Запущенный файервол может быть перезапущен при помощи команды + shorewall restart. Если Вы хотите + полностью удалить изменения сделанные Shorewall из конфигурации Вашего + Netfilter, используйте команду shorewall + clear. + + + + Пример с двумя интерфейсами предполагает, что Вы хотите разрешить + маршрутизацию к/из eth1 (локальная сеть) + когда Shorewall остановлен. Если Ваша локальная сеть не подсоединена к + eth1 или Вы не хотите разрешать доступ + к/из других хостов, измените файл /etc/shorewall/routestopped + соответственно. + Если Вы подсоединены к Вашему файерволу из Интернет, не + используйте команду shorewall stop + если Вы не добавили запись для IP-адреса, с + которого Вы подсоединены, в /etc/shorewall/routestopped. + Также, я не рекоммендую использовать shorewall + restart; лучше создать альтернативную + конфигурацию и протестировать ее при помощи команды + shorewall + try. + +
+ +
+ Дополнительно рекоммендуемая литература + + Я особо рекоммендую просмотреть Вам страницу Особенностей Общих Фалов + Конфигурации -- она содержит полезные советы об особенностях + Shorewall, делающую администрирование Вашего файервола проще. +
+ +
+ Добавление сегмента беспроводной связи к Вашему файерволу с двумя + интерфейсами + + Как только Вы будете иметь работающую конфигурацию с двумя + интерфейсами, следующий логический шаг - добавление беспроводной сети. + Первый шаг включает добавление дополнительной сетевой карты в Ваш + файервол, либо карты беспроводного интерфейса, либо Ethernet-карты, + которая соединена с Точкой Беспроводного Доступа (Wireless + Access Point - WAP). + Когла Вы добавляете сетевую карту, она необязательно будет + определена как следующая по порядку сетевой интерфейс. Например, если + Вы имеете две карты Ethernet в Вашей системе (eth0 и eth1) и + Вы добавляете третью карту, которая использует такой же драйвер как и + одна из имеющихся, то эта третья карта необязательно будет определена + как eth2; она может определиться как + eth0 или eth1! Вы можете оставить все как есть, либо + можете переставлять карты в слотах до тех пор, пока новая карта не + будет определена как eth2. + + + Ваша новая сеть будет выглядеть примерно так, как показано на + следующем рисунке. + + + + Во-первых необходимо отметить, что компьютеры в Вашей беспроводной + сети будут принадлежать другой подсети, чем те, что находяться в проводной + локальной сети. В примере выше мы выбрали для использования сеть + 10.10.11.0/24. Computers 3 и 4 должны быть настроены с + IP-адресом маршрутизатора по умолчанию + 10.10.11.254. + + Во-вторых мы решили включить беспроводную сеть как часть зоны + loc. Поскольку Shorewall по умолчанию разрешает + внутризонный трафик, трафик может свободно перемещаться между локальными + проводной и беспроводной сетями. + + + + Необходимо выполнить всего-лишь два изменения в настройках + Shorewall: + + + + Нужно добавить запись для интерфейса беспроводной сети в файл + /etc/shorewall/interfaces. Если беспроводной + интерфейс wlan0, то запись может + выглядеть так: + + #ZONE INTERFACE BROADCAST OPTIONS +loc wlan0 detect maclist + + Как показано выше, я рекоммендую использовать опцию maclist для беспроводного сегмента. + Добавив записи для computers 3 и 4 в файл + /etc/shorewall/maclist, Вы можете быть + уверенными, что Вашими соседями не сможет стать любой, используя Ваше + Интернет соединение. Начните без этой опции, а когда у Вас все + заработает, добавьте ее и настройте Ваш файл + /etc/shorewall/maclist. + + + + Вам необходимо добавить запись в файл + /etc/shorewall/masq для маскарадинга трафика из + беспроводной сети в Интернет. Если Ваш Интернет-интерфейс eth0 и Ваш беспроводной интерфейс wlan0, то запись будет такой: + + #INTERFACE SUBNET ADDRESS +eth0 wlan0 + + + + Еще одно замечание. Для того, чтобы между беспроводной и проводной + сетями работала сеть Microsoft, Вам необходим либо + WINS-сервер, либо PDC. Я лично + пользуюсь Samba, настроенной как WINS-сервер, + работающей на моем файерволе. Запуск WINS-сервера на + Вашем файерволе потребует правил, перечисленных в документации Shorewall/Samba. +
+
\ No newline at end of file