introducció a shorewall

Sudoers Barcelona

4 de desembre de 2012

Què és shorewall?

O Gateway/firewall configuration made easy

O Més ‘human-readable’ iptables

Configuració

O Dividida en diferents fitxers

O Defineix l’organització i les regles

O Per començar ->

/usr/share/doc/shorewall/examples/one-interface

Organització

eth0

net

eth1

prod

10.10.15.255

pre

10.10.16.255

dev

10.10.17.255

Interfaces

O Una linia per cada interfície del servidor

#ZONE INTERFACE BROADCAST OPTIONS

net eth0 99.258.27.255 blacklist

prod eth1 10.10.15.255 dhcp

pre eth1 10.10.16.255 dhcp

dev eth1 10.10.17.255 dhcp

Zones

O Defineix les zones de les xarxes

O Més d’una zona per interficie

#ZONE TYPE OPTIONS IN OUT

# OPTIONS OPTIONS

fw firewall

net ipv4

prod ipv4

pre ipv4

dev ipv4

Hosts

O Defineix els hosts de cada zona

#ZONE HOST(S) OPTIONS

prod eth1:10.10.15.0/24

pre eth1:10.10.16.0/24

dev eth1:10.10.17.0/24

Rules

O S’avaluen en ordre d’aparició

O Regles diferents segons estat: ESTABLISHED,

RELATED, NEW

O ESTABLISHED i RELATED tenen ACCEPT per

defecte

Rules #ACTION SOURCE DEST PROTO DEST SOURCE ORIGINAL

# PORT PORT DEST

SECTION NEW

ACCEPT prod net TCP 80

ACCEPT pre prod - 22

ACCEPT prod net - 123

ACCEPT net:324.10.51.2 pre TCP 22

DNAT net pre:10.10.16.10 - - - 345.29.59.18

Policy

O Si una connexió no fa match a cap regla…

#SOURCE DEST POLICY LOG

# LEVEL

dev pre ACCEPT

fw prod ACCEPT

all all REJECT $LOG

Útils - Params

rules:

ACCEPT net:324.10.51.2 pre TCP 22

params:

CLIENT=324.10.51.2

rules:

ACCEPT net:$CLIENT pre TCP 22

Útils - Macros # /usr/share/shorewall/macro.DNS

#

# This macro handles DNS traffic.

#

##########################################################ACTION SOURCE DEST PROTO DEST SOURCE ORIGINAL RATE USER/

# PORT PORT(S) DEST LIMIT GROUP

PARAM - - udp 53

PARAM - - tcp 53

#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE

Útils - Macros # /usr/share/shorewall/macro.HTTP

#

# This macro handles plaintext HTTP (WWW) traffic.

##########################################################ACTION SOURCE DEST PROTO DEST SOURCE ORIGINAL RATE USER/

# PORT PORT(S) DEST LIMIT GROUP

PARAM - - tcp 80

#LAST LINE -- ADD YOUR ENTRIES BEFORE THIS ONE -- DO NOT REMOVE

Útils - Macros #ACTION SOURCE DEST PROTO DEST

# PORT

HTTP/ACCEPT net prod

SSH/ACCEPT net:$ADMIN all

SMTP/ACCEPT net prod

Útils - Macros O SMTP, SMTPS, IMAP, IMAPS, POP3, POP3S

O MySQL, PostgreSQL

O NTP, DNS, Whois

O SSH, FTP, Telnet, SNMP, Rsync, RDP

O ICQ, Jabberd, JabberPlain, JabberSecure

O HTTP, HTTPS

O CVS, SVN

O LDAP, BitTorrent, SMB

O I les que es vulguin…

Útils - blacklist O Cal indicar-ho al fitxer interfaces (options)

O Opcions: DROP (default), REJECT

#ADDRESS/SUBNET PROTOCOL PORT

355.24.99.212

Útils - stoppedrules

O Defineix les regles que quedaran actives

quan shorewall estigui aturat o s’estigui

reiniciant

#ACTION SOURCE DEST PROTO DEST SOURCE ORIGINAL

# PORT PORT DEST

SSH/ACCEPT net:$ADMIN prod,pre,dev

Funcionament

O shorewall check

O shorewall start/stop/restart

O shorewall clear

O Log per defecte a syslog

O iptables -L

introducció a shorewall

Technology

regles o

jabbersecure o http

syslog o iptables

https o cvs

postgresql o ntp

pop3s o mysql

svn o ldap

whois o ssh