extern/shorewall_code
1
0
Fork 1
mirror of https://gitlab.com/shorewall/code.git synced 2025-01-22 13:39:06 +01:00
Code Issues Packages Projects Releases Wiki Activity

Update my config info to remove use of ipset

Browse Source 
git-svn-id: https://shorewall.svn.sourceforge.net/svnroot/shorewall/trunk@3168 fbd18981-670d-0410-9b5c-8dc0c1a9a2bb
This commit is contained in:
teastep 2005-12-15 19:39:13 +00:00
parent 47cd161735
commit c572c2cb0f
5 changed files with 146 additions and 116 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

3
Shorewall-docs2/PortKnocking.xml
View File

@ -190,7 +190,8 @@ SSHLimit net loc:192.168.1.5 tcp 22 -
</listitem>
</orderedlist>
<para>The above can be generalized into a flexible 'Limit' target.</para>
<para id="Limit">The above can be generalized into a flexible 'Limit'
target.</para>
<orderedlist>
<listitem>

11
Shorewall-docs2/Shorewall_and_Routing.xml
View File

@ -15,7 +15,7 @@
</author>
</authorgroup>
<pubdate>2005-11-16</pubdate>
<pubdate>2005-12-12</pubdate>
<copyright>
<year>2005</year>
@ -168,9 +168,10 @@
<section>
<title>Alternate Routing Table Configuration</title>
<para>The <ulink url="Shorewall_Squid_Usage.html">Shorewall Squid
documentation</ulink> shows how alternate routing tables can be created
and used. That documentation shows how you can use logic in
<para>The Shorewall 2.x <ulink
url="http://www.shorewall.net/2.0/Shorewall_Squid_Usage.html#Local">Shorewall
Squid documentation</ulink> shows how alternate routing tables can be
created and used. That documentation shows how you can use logic in
<filename>/etc/shorewall/init</filename> to create and populate an
alternate table and to add a routing rule for its use. It is fine to use
that technique so long as you understand that you are basically just using
@ -215,6 +216,6 @@
strongly that you upgrade to version 2.4.2 or later.</para>
<para>Shorewall multi-ISP support is now covered in a <ulink
url="MultiISP.html">separate article</ulink>. </para>
url="MultiISP.html">separate article</ulink>.</para>
</section>
</article>

54
Shorewall-docs2/myfiles.xml
View File

@ -15,7 +15,7 @@
</author>
</authorgroup>
<pubdate>2005-11-27</pubdate>
<pubdate>2005-12-15</pubdate>
<copyright>
<year>2001-2005</year>
@ -48,7 +48,7 @@
<caution>
<para>The configuration shown here corresponds to Shorewall version
3.0.0. My configuration uses features not available in earlier Shorewall
3.0.3. My configuration uses features not available in earlier Shorewall
releases.</para>
</caution>
@ -213,7 +213,7 @@ DYNAMIC_ZONES=No
PKTTYPE=No
RFC1918_STRICT=Yes
MACLIST_TTL=60
SAVE_IPSETS=Yes
SAVE_IPSETS=No
MAPOLDACTIONS=No
FASTACCEPT=No
BLACKLIST_DISPOSITION=DROP
@ -234,7 +234,8 @@ WIFI_IF=eth0
EXT_IF=eth2
INT_IF=br0
DMZ_IF=eth1
OMAK=&lt;ip address of the gateway at our second home&gt;</programlisting></para>
OMAK=&lt;ip address of the gateway at our second home&gt;
MIRRORS=&lt;list IP addresses of Shorewall mirrors&gt;</programlisting></para>
</blockquote>
</section>
@ -295,16 +296,17 @@ Blarg 1 1 main $EXT_IF 206.124.146.254 track,ba
</section>
<section>
<title>Blacklist File</title>
<title>Blacklist File (Edited)</title>
<blockquote>
<para>I use <ulink url="ipsets.html">ipsets</ulink> to represent my
blacklist.</para>
<para>I blacklist a number of ports globally to cut down on the amount
of noise in my firewall log. Note that the syntax shown below was
introduced in Shorewall 3.0.3 ("-" in the ADDRESS/SUBNET column);
earlier versions must use "0.0.0.0/0".</para>
<programlisting>#ADDRESS/SUBNET PROTOCOL PORT
+Blacklistports[dst]
+Blacklistnets[src,dst]
+Blacklist[src,dst]
- udp 1024:1033
- tcp 57,1433,1434,2401,2745,3127,3306,3410,4899,5554,6101,8081,9898
#LAST LINE -- ADD YOUR ENTRIES ABOVE THIS ONE - DO NOT REMOVE</programlisting>
</blockquote>
</section>
@ -411,9 +413,12 @@ openvpnserver:1194 Wifi 192.168.3.0/24
<title>Actions File</title>
<blockquote>
<para>The Limit action is described in a <ulink
url="PortKnocking.html#Limit">separate article</ulink>.</para>
<programlisting>#ACTION
Mirrors #Accept traffic from the Shorewall Mirror sites
SSHKnock #Port Knocking
Limit #Limit connection rate from individual Hosts
#LAST LINE - ADD YOUR ENTRIES ABOVE THIS ONE - DO NOT REMOVE</programlisting>
</blockquote>
</section>
@ -422,15 +427,11 @@ SSHKnock #Port Knocking
<title>action.Mirrors File</title>
<blockquote>
<para>The <emphasis>Mirrors</emphasis> and
<emphasis>Mirrornets</emphasis> <ulink
url="ipsets.html">ipsets</ulink> define the set of Shorewall
mirrors.</para>
<para>$MIRRORS is set in /etc/shorewall/params above.</para>
<programlisting>#TARGET SOURCE DEST PROTO DEST SOURCE ORIGINAL RATE
# PORT PORT(S) DEST LIMIT
ACCEPT +Mirrors
ACCEPT +Mirrornets
ACCEPT $MIRRORS
#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE</programlisting>
</blockquote>
</section>
@ -514,7 +515,12 @@ ACCEPT net dmz tcp
ACCEPT net dmz tcp smtp - 206.124.146.177,206.124.146.178
ACCEPT net dmz udp 33434:33454
Mirrors net dmz tcp rsync
ACCEPT net dmz tcp 22
#
# Allow SSH access from anywhere but limit all but from our second home
#
ACCEPT net:$OMAK dmz tcp 22
Limit:info:SSHA,3,60 \
net dmz tcp 22
Ping/ACCEPT net dmz
###############################################################################################################################################################################
#
@ -524,7 +530,12 @@ Ping/ACCEPT net dmz
#
DNAT net loc:192.168.1.4 tcp 1729
DNAT net loc:192.168.1.4 gre
#
# Allow SSH access from anywhere but limit all but from our second home
#
ACCEPT net:$OMAK loc:192.168.1.5 tcp 22
Limit:info:SSHA,3,60 \
net loc:192.168.1.5 tcp 22
#
# Auth for IRC
#
@ -589,7 +600,12 @@ DROP net fw icmp
ACCEPT net fw udp 33434:33454
ACCEPT net:$OMAK fw udp ntp
ACCEPT net fw tcp auth
SSHKnock:info net fw tcp 22,4320,4321,4322
#
# Allow SSH access from anywhere but limit all but from our second home
#
ACCEPT net:$OMAK fw tcp 22
Limit:info:SSHA,3,60 \
net fw tcp 22
###############################################################################################################################################################################
# Firewall to Internet
#

74
Shorewall-docs2/standalone_ru.xml
View File

@ -67,11 +67,11 @@
<para>Shorewall требует, чтобы у Вас был установлен пакет
<command>iproute</command>/<command>iproute2</command> (на
<trademark>RedHat</trademark>, этот пакет называется<command>
iproute</command>). Вы можете определить установлен ли этот пакет по
наличию программы <command>ip</command> на Вашем файерволе. Как root, Вы
можете использовать команду <command>which</command> для проверки
наличия этой программы:</para>
<trademark>RedHat</trademark>, этот пакет называется
<command>iproute</command>). Вы можете определить установлен ли этот
пакет по наличию программы <command>ip</command> на Вашем файерволе. Как
root, Вы можете использовать команду <command>which</command> для
проверки наличия этой программы:</para>
<programlisting>[root@gateway root]# <command>which ip</command>
/sbin/ip
@ -148,10 +148,11 @@
<orderedlist>
<listitem>
<para>Если Вы при установке использовали <acronym>RPM</acronym>,
примеры будут находится в поддиректории Samples/one-interface/
директории с документацией Shorewall. Если Вы не знаете где
расположена директория с документацией Shorewall, Вы можете найти
примеры используя команду:</para>
примеры будут находится в поддиректории <filename
class="directory">Samples/one-interface</filename>/ директории с
документацией Shorewall. Если Вы не знаете где расположена директория
с документацией Shorewall, Вы можете найти примеры используя
команду:</para>
<programlisting>~# rpm -ql shorewall | fgrep one-interface
/usr/share/doc/packages/shorewall/Samples/one-interface
@ -164,12 +165,15 @@
<listitem>
<para>Если Вы установили Shorewall из tarball'а, примеры находятся в
директории Samples/one-interface внутри tarball'а.</para>
директории <filename
class="directory">Samples/one-interface</filename> внутри
tarball'а.</para>
</listitem>
<listitem>
<para>Если же Вы пользовались пакетом .deb, примеры находятся в
/usr/share/doc/shorewall/examples/one-interface.</para>
директории <filename
class="directory">/usr/share/doc/shorewall/examples/one-interface</filename>.</para>
</listitem>
</orderedlist>
@ -188,9 +192,10 @@
<para>Заметьте, что Вы должны скопировать <filename
class="directory">/usr/share/doc/shorewall/default-config/shorewall.conf</filename>
и /usr/share/doc/shorewall/default-config/modules в <filename
class="directory">/etc/shorewall</filename> даже если Вы не будете
изменять эти файлы.</para>
и <filename
class="directory">/usr/share/doc/shorewall/default-config/modules</filename>
в <filename class="directory">/etc/shorewall</filename> даже если Вы не
будете изменять эти файлы.</para>
</warning>
<para>По мере того как мы будем знакомится с каждым файлом, я надеюсь, что
@ -211,10 +216,11 @@ net ipv4</programlisting>
url="Documentation.htm#Zones"><filename>/etc/shorewall/zones</filename></ulink>.</para>
<para>Заметьте, что Shorewall рассматривает систему файервола как свою
собственную зону. Имя зоны файервола (<emphasis role="bold">fw</emphasis>
в примере выше) храниться в переменной shell <firstterm>$FW</firstterm>,
которая может использоваться во всей конфигурации Shorewall для ссылки на
сам файервол.</para>
собственную зону. При обработке файла
<filename>/etc/shorewall/zones</filename> имя зоны файервола
(<quote>fw</quote> в примере выше) храниться в переменной shell
<firstterm>$FW</firstterm>, которая может использоваться во всей
конфигурации Shorewall для ссылки на сам файервол.</para>
<para>Правила о том какой трафик разрешен, а какой запрещен выражаются в
терминах зон.</para>
@ -301,11 +307,11 @@ all all REJECT info</programlisting>
<para><inlinegraphic fileref="images/BD21298_.gif" format="GIF" /></para>
<para>Пример конфигурации Shorewall для одного интерфейса подразумевает,
что <emphasis>Внешний интерфейс</emphasis><emphasis role="bold">
</emphasis>- <emphasis role="bold">eth0</emphasis>. Если Ваша конфигурация
отличается, Вам необходимо изменить файл примера /etc/shorewall/interfaces
соответственно. Пока Вы здесь, Вы возможно захотите просмотреть список
опций, специфичных для интерфейса. Вот несколько подсказок:</para>
что внешний интерфейс - <emphasis role="bold">eth0</emphasis>. Если Ваша
конфигурация отличается, Вам необходимо изменить файл примера
<filename>/etc/shorewall/interfaces</filename> соответственно. Пока Вы
здесь, Вы возможно захотите просмотреть список опций, специфичных для
интерфейса. Вот несколько подсказок:</para>
<tip>
<para>Если Ваш внешний интерфейс <emphasis role="bold">ppp0</emphasis>
@ -334,8 +340,8 @@ all all REJECT info</programlisting>
(Dynamic Host Configuration Protocol</emphasis> -
<acronym>DHCP</acronym>), в процессе установки Вами коммутированного
соединения (обычный модем), или при установке Вами другого типа
<acronym>PPP</acronym> соединения (<acronym>PPPoA</acronym>,
<acronym>PPPoE</acronym> и т.д.).</para>
<acronym>PPP</acronym> (<acronym>PPPoA</acronym>, <acronym>PPPoE</acronym>
и т.д.) соединения.</para>
<para><acronym>RFC-1918</acronym> резервирует несколько диапазонов
<emphasis>Частных (Private)</emphasis> <acronym>IP</acronym>-адресов для
@ -349,9 +355,9 @@ all all REJECT info</programlisting>
<emphasis>немаршрутизируемые</emphasis> потому, что магистральные
маршрутизаторы Интернет не переправляют пакеты, адреса назначения которых
зарезервированы <acronym>RFC-1918</acronym>. Хотя в некоторых случаях,
<acronym>ISP</acronym>s назначающие эти адреса, используют затем
<acronym>ISP</acronym>, назначающие эти адреса, используют затем
<emphasis>Преобразование Сетевых Адресов (Network Address Translation -
<acronym>NAT</acronym>)</emphasis> для перезаписи заголовков пакетов при
</emphasis><acronym>NAT</acronym>) для перезаписи заголовков пакетов при
перенаправлении в/из Интернет.</para>
<para><inlinegraphic fileref="images/BD21298_.gif" format="GIF" /></para>
@ -443,15 +449,15 @@ SSH/ACCEPT net $FW </programlisting>
<filename>/etc/shorewall/startup_disabled</filename>.</para>
<important>
<para><emphasis role="bold">Пользователи пакета .deb должны
отредактировать <filename>/etc/default/shorewall</filename> и установить
<quote>startup=1</quote>. </emphasis></para>
<para>Пользователи пакета .deb должны отредактировать файл
<filename>/etc/default/shorewall</filename> и установить параметр
<varname>STARTUP=1.</varname></para>
</important>
<important>
<para><emphasis role="bold">Вы должны разрешить запуск путем
редактирования /etc/shorewall/shorewall.conf и установки
STARTUP_ENABLED=Yes.</emphasis></para>
<para>Вы должны разрешить запуск путем редактирования файла
<filename>/etc/shorewall/shorewall.conf</filename> и установки параметра
<varname>STARTUP_ENABLED=Yes.</varname></para>
</important>
<para>Файервол запускается при помощи команды <quote><command>shorewall
@ -486,7 +492,7 @@ SSH/ACCEPT net $FW </programlisting>
<title>Дополнительно рекоммендуемая литература</title>
<para>Я особо рекоммендую просмотреть Вам <ulink
url="configuration_file_basics.htm">страницу Особенностей Общих Фалов
url="configuration_file_basics.htm">страницу Общих Особенностей Файлов
Конфигурации</ulink> -- она содержит полезные советы об особенностях
Shorewall, делающую администрирование Вашего файервола проще.</para>
</section>

120
Shorewall-docs2/two-interface_ru.xml
View File

@ -169,10 +169,11 @@
<orderedlist>
<listitem>
<para>Если Вы при установке использовали <acronym>RPM</acronym>,
примеры будут находится в поддиректории Samples/two-interface/
директории с документацией Shorewall. Если Вы не знаете где
расположена директория с документацией Shorewall, Вы можете найти
примеры используя команду:</para>
примеры будут находится в поддиректории <filename
class="directory">Samples/two-interface</filename> директории с
документацией Shorewall. Если Вы не знаете где расположена директория
с документацией Shorewall, Вы можете найти примеры используя
команду:</para>
<programlisting>~# rpm -ql shorewall | fgrep two-interfaces
/usr/share/doc/packages/shorewall/Samples/two-interfaces
@ -187,12 +188,15 @@
<listitem>
<para>Если Вы установили Shorewall из tarball'а, примеры находятся в
директории Samples/two-interface внутри tarball'а.</para>
директории <filename
class="directory">Samples/two-interface</filename> внутри
tarball'а.</para>
</listitem>
<listitem>
<para>Если же Вы пользовались пакетом .deb, примеры находятся в
/usr/share/doc/shorewall/examples/two-interface.</para>
директории<filename
class="directory">/usr/share/doc/shorewall/examples/two-interface</filename>.</para>
</listitem>
</orderedlist>
@ -211,9 +215,10 @@
<para>Заметьте, что Вы должны скопировать <filename
class="directory">/usr/share/doc/shorewall/default-config/shorewall.conf</filename>
и /usr/share/doc/shorewall/default-config/modules в <filename
class="directory">/etc/shorewall</filename> даже если Вы не будете
изменять эти файлы.</para>
и <filename
class="directory">/usr/share/doc/shorewall/default-config/modules</filename>
в <filename class="directory">/etc/shorewall</filename> даже если Вы не
будете изменять эти файлы.</para>
</warning>
<para>По мере того как мы будем знакомится с каждым файлом, я надеюсь, что
@ -235,10 +240,11 @@ loc ipv4</programlisting>
url="Documentation.htm#Zones"><filename>/etc/shorewall/zones</filename></ulink>.</para>
<para>Заметьте, что Shorewall рассматривает систему файервола как свою
собственную зону. Имя зоны файервола (<emphasis role="bold">fw</emphasis>
в примере выше) храниться в переменной shell <firstterm>$FW</firstterm>,
которая может использоваться во всей конфигурации Shorewall для ссылки на
сам файервол.</para>
собственную зону. При обработке файла
<filename>/etc/shorewall/zones</filename> имя зоны файервола
(<quote>fw</quote> в примере выше) храниться в переменной shell
<firstterm>$FW</firstterm>, которая может использоваться во всей
конфигурации Shorewall для ссылки на сам файервол.</para>
<para>Правила о том какой трафик разрешен, а какой запрещен выражаются в
терминах зон.</para>
@ -313,7 +319,7 @@ $FW net ACCEPT</programlisting>Политики приведен
политикой определенной в файле<filename class="directory">
/etc/shorewall/policy</filename>, показанной выше, разрешены соединения из
зоны <quote>loc</quote> в зону <quote>net</quote>, хотя на сам файервол
соединения из зоны <emphasis>loc</emphasis> не разрешены.</para>
соединения из зоны <quote>loc</quote> не разрешены.</para>
<para>В данный момент Вы можете отредактировать ваш файл
<filename>/etc/shorewall/policy</filename> и внести изменения, какие Вы
@ -359,10 +365,10 @@ $FW net ACCEPT</programlisting>Политики приведен
role="bold">eth0</emphasis>) и будет соединен с <emphasis
role="bold">хабом</emphasis> или <emphasis
role="bold">коммутатором</emphasis>. Другие Ваши компьютеры будут
соединены с тем же <emphasis role="bold">хабом</emphasis>/<emphasis
role="bold">коммутатором</emphasis> (заметьте: если Вы имеете только одну
внутреннюю систему, Вы можете соединить файервол с этим компьютером
напрямую, используя кроссоверный (cross-over) кабель. <warning>
соединены с тем же <emphasis>хабом/коммутатором</emphasis> (заметьте: если
Вы имеете только одну внутреннюю систему, Вы можете соединить файервол с
этим компьютером напрямую, используя кроссоверный (cross-over) кабель.
<warning>
<para><emphasis role="bold">Не подсоединяйте внутренний и внешний
интерфейсы к одному т тому же хабу или коммутатору исключая время
тестирование</emphasis>.Вы можете провести тестирование используя
@ -411,25 +417,25 @@ $FW net ACCEPT</programlisting>Политики приведен
(Dynamic Host Configuration Protocol</emphasis> -
<acronym>DHCP</acronym>), в процессе установки Вами коммутированного
соединения (обычный модем), или при установке Вами другого типа
<acronym>PPP</acronym> соединения (<acronym>PPPoA</acronym>,
<acronym>PPPoE</acronym> и т.д.). В последнем случае Ваш
<acronym>ISP</acronym> может назначит Вам статический
<acronym>IP</acronym>-адрес; что означает, что Вы настраиваете внешний
интерфейс Вашего файервола на использование этого адреса постоянно. Как бы
ни был назначен Вам внешний адрес, он будет разделяться между всеми Вашими
системами при доступе в Интернет. Вы должны будете назначить свои
собственные адреса в Вашей внутренней сети (внутренний интерфейс на Вашем
файерволе плюс другие Ваши компьютеры). <acronym>RFC-1918</acronym>
резервирует несколько <emphasis>Частных (Private)</emphasis>
<acronym>IP</acronym>-адресов для этих целей: <programlisting>10.0.0.0 - 10.255.255.255
<acronym>PPP</acronym> (<acronym>PPPoA</acronym>, <acronym>PPPoE</acronym>
и т.д.) соединения. В последнем случае Ваш <acronym>ISP</acronym> может
назначит Вам статический <acronym>IP</acronym>-адрес; что означает, что Вы
настраиваете внешний интерфейс Вашего файервола на использование этого
адреса постоянно. Как бы ни был назначен Вам внешний адрес, он будет
разделяться между всеми Вашими системами при доступе в Интернет. Вы должны
будете назначить свои собственные адреса в Вашей внутренней сети
(внутренний интерфейс на Вашем файерволе плюс другие Ваши компьютеры).
<acronym>RFC-1918</acronym> резервирует несколько <emphasis>Частных
(Private)</emphasis> <acronym>IP</acronym>-адресов для этих целей:
<programlisting>10.0.0.0 - 10.255.255.255
172.16.0.0 - 172.31.255.255
192.168.0.0 - 192.168.255.255</programlisting> <inlinegraphic
fileref="images/BD21298_.gif" format="GIF" /></para>
<para>Перед запуском Shorewall, <emphasis role="bold">Вы должны взглянуть
на IP-адрес Вашего внешнего интерфейса и если он входит в один указанных
выше пазонов, Вы должны удалить опцию 'norfc1918' из строки для внешнего
интерфейса в файле <filename
выше пазонов, Вы должны удалить опцию <quote>norfc1918</quote> из строки
для внешнего интерфейса в файле <filename
class="directory">/etc/shorewall/</filename><filename>interfaces</filename>.</emphasis></para>
<para>Вы можете захотеть назначить Ваши адреса из такой же подсети
@ -441,12 +447,12 @@ $FW net ACCEPT</programlisting>Политики приведен
Подсети (Subnet Address)</emphasis>, а <varname>x.y.z.255</varname> как
<emphasis>Широковещательный Адрес Подсети (Subnet Broadcast
Address</emphasis>). В Shorewall подсеть описывается с использованием
<ulink url="shorewall_setup_guide.htm#Subnets">нотации Бесклассовой
Междоменной Маршрутизации (Classless InterDomain Routing - CIDR
notation)</ulink> с адресом посети оканчивающимся <varname>/24</varname>.
<quote>24</quote> указывает число непрерывных ведущих бит установленных в
<quote>1</quote> слева в маске подсети. <informaltable frame="all"
label="Example sub-network" pgwide="0">
нотации <ulink url="shorewall_setup_guide.htm#Subnets"> Бесклассовой
Междоменной Маршрутизации (Classless InterDomain Routing</ulink> -
<acronym>CIDR</acronym> notation) с адресом посети оканчивающимся
<varname>/24</varname>. <quote>24</quote> указывает число непрерывных
ведущих бит установленных в <quote>1</quote> слева в маске подсети.
<informaltable frame="all" label="Example sub-network" pgwide="0">
<!--
Orientation types for tables are not supported by fop yet so we'll fake it by using boldface on left side entries.
-->
@ -496,7 +502,7 @@ $FW net ACCEPT</programlisting>Политики приведен
в подсети понимать с какими другими компьютерами можно взаимодействовать
напрямую. При взаимодействии с системами находящимися вне подсети, системы
посылают пакеты через <emphasis>шлюз (маршрутизатор) (gateway
(router</emphasis>).</para>
(router</emphasis>)).</para>
<para><inlinegraphic fileref="images/BD21298_.gif" format="GIF" /></para>
@ -552,10 +558,11 @@ $FW net ACCEPT</programlisting>Политики приведен
и переправляет пакет на computer 1.</para>
<para>На Linux системах, описанный выше процесс называют
<emphasis>IP-маскарадингом (IP Masquerading)</emphasis>, но Вы будете
также встречать термин <emphasis>Преобразование Сетевого Адреса Источника
(Source Network Address Translation</emphasis> - <acronym>SNAT</acronym>).
Shorewall следует соглашению используемому Netfilter: <itemizedlist>
<emphasis><acronym>IP</acronym>-маскарадингом (<acronym>IP</acronym>
Masquerading)</emphasis>, но Вы будете также встречать термин
<emphasis>Преобразование Сетевого Адреса Источника (Source Network Address
Translation</emphasis> - <acronym>SNAT</acronym>). Shorewall следует
соглашению используемому Netfilter: <itemizedlist>
<listitem>
<para><emphasis>Masquerade</emphasis> описывает случай, когда Вы
позволяете своему файерволу автоматически определять адрес внешнего
@ -836,7 +843,7 @@ ACCEPT loc $FW tcp 80 #Allow Weblet to work</progra
будут ассоциированы с внешним интерфейсом или зоной
<quote>net</quote>. Любой трафик, создаваемый из локальной сети будет
ассоциироваться с Вашим локальным интерфейсом и будет воспринят как
трафик loc-&gt;fw.</para>
трафик <quote>loc</quote>-&gt;<quote>fw</quote>.</para>
</listitem>
<listitem>
@ -852,15 +859,14 @@ ACCEPT loc $FW tcp 80 #Allow Weblet to work</progra
<listitem>
<para><emphasis role="bold">Все IP-адреса, настроенные на интерфейсах
файервола, принадлежат зоне $FW (fw)</emphasis>. Если 192.168.1.254 -
это <acronym>IP</acronym>-адрес Вашего внутреннего интерфейса, то Вы
можете написать <quote><emphasis
файервола, принадлежат зоне $FW (<quote>fw</quote>)</emphasis>. Если
192.168.1.254 - это <acronym>IP</acronym>-адрес Вашего внутреннего
интерфейса, то Вы можете написать <quote><emphasis
role="bold">$FW:192.168.1.254</emphasis></quote> в правиле, но Вы не
можете написать <quote><emphasis
role="bold">loc:192.168.1.254</emphasis></quote>. Также не играет роли
добавление адреса 192.168.1.254 в зону <emphasis
role="bold">loc</emphasis> при помощи записи в файле
<filename>/etc/shorewall/hosts</filename>.</para>
добавление адреса 192.168.1.254 в зону <quote>loc</quote> при помощи
записи в файле <filename>/etc/shorewall/hosts</filename>.</para>
</listitem>
<listitem>
@ -896,13 +902,13 @@ ACCEPT loc $FW tcp 80 #Allow Weblet to work</progra
полностью завершите конфигурирование Вашего файервола, Вы можете включить
запуск Shorewall путем удаления файла
<filename>/etc/shorewall/startup_disabled</filename>.<important>
<para><emphasis role="bold">Пользователи пакета .deb должны
отредактировать <filename>/etc/default/shorewall</filename> и
установить <quote>startup=1</quote>. </emphasis></para>
<para>Пользователи пакета .deb должны отредактировать файл
<filename>/etc/default/shorewall</filename> и установить параметр
<varname>STARTUP=1.</varname></para>
</important><important>
<para><emphasis role="bold">Вы должны разрешить запуск путем
редактирования /etc/shorewall/shorewall.conf и установки
STARTUP_ENABLED=Yes.</emphasis></para>
<para>Вы должны разрешить запуск путем редактирования файла
<filename>/etc/shorewall/shorewall.conf</filename> и установки
параметра <varname>STARTUP_ENABLED=Yes.</varname></para>
</important>Файервол запускается при помощи команды
<quote><command>shorewall start</command></quote> и останавливается при
помощи <quote><command>shorewall stop</command></quote>. Когда файервол
@ -943,7 +949,7 @@ ACCEPT loc $FW tcp 80 #Allow Weblet to work</progra
<title>Дополнительно рекоммендуемая литература</title>
<para>Я особо рекоммендую просмотреть Вам <ulink
url="configuration_file_basics.htm">страницу Особенностей Общих Фалов
url="configuration_file_basics.htm">страницу Общих Особенностей Файлов
Конфигурации</ulink> -- она содержит полезные советы об особенностях
Shorewall, делающую администрирование Вашего файервола проще.</para>
</section>
@ -957,7 +963,7 @@ ACCEPT loc $FW tcp 80 #Allow Weblet to work</progra
Первый шаг включает добавление дополнительной сетевой карты в Ваш
файервол, либо карты беспроводного интерфейса, либо Ethernet-карты,
которая соединена с <emphasis>Точкой Беспроводного Доступа (Wireless
Access Point</emphasis> - <acronym>WAP</acronym>).<caution>
Access Point</emphasis>).<caution>
<para>Когла Вы добавляете сетевую карту, она необязательно будет
определена как следующая по порядку сетевой интерфейс. Например, если
Вы имеете две карты Ethernet в Вашей системе (<emphasis