Всем хорош iptables, да только синтаксис правил у него достаточно неочевидный (куча всяческих опций и прочее). Сейчас, конечно, появился его потомок, nftables, но пока что он не очень распространен и поддерживает не все возможности предшественника. Для iptables же за время его существования было создано немало фронтендов и конфигураторов, один из которых, Shorewall, мы и рассмотрим.

 

Введение

Разработка Shorewall началась, когда автор осознал негибкость предыдущего варианта фронтенда, Seawall, который сам же разработал в 1999-м. Возможности Shorewall весьма широки:

  • поддержка и автоматическое определение доступных особенностей Netfilter/iptables. Это крайне полезно, поскольку его версии могут разниться от дистрибутива к дистрибутиву;
  • деление сетей на зоны. При этом как несколько сетевых интерфейсов могут соответствовать одной зоне, так и один интерфейс может соответствовать нескольким зонам. Есть также поддержка вложенных и пересекающихся зон;
  • поддержка всевозможных видов NAT;
  • возможность простого использования на одном брандмауэре/роутере нескольких провайдеров;
  • централизованное управление несколькими брандмауэрами с установленным Shorewall Lite;
  • возможность написания собственных расширений, если основной функциональности почему-либо окажется недостаточно,
    и многие другие.

На данный момент в репозиториях Ubuntu 15.04 имеется версия 4.6.4, которую мы и рассмотрим.

 

Установка и архитектура

Перед установкой стоит удалить ufw — стандартный фронтенд iptables в Ubuntu, а уже потом устанавливать Shorewall. Для этого набираем следующие команды:

$ sudo apt-get remove ufw
$ sudo apt-get install shorewall

Продолжение доступно только подписчикам

Вариант 1. Оформи подписку на «Хакер», чтобы читать все материалы на сайте

Подписка позволит тебе в течение указанного срока читать ВСЕ платные материалы сайта. Мы принимаем оплату банковскими картами, электронными деньгами и переводами со счетов мобильных операторов. Подробнее о подписке

Вариант 2. Купи один материал

Заинтересовала информация, но нет возможности оплатить подписку? Тогда этот вариант для тебя! Обрати внимание: этот способ покупки доступен только для материалов, опубликованных более двух месяцев назад.


3 комментария

  1. itjunky

    30.12.2015 at 17:16

    «Всем хорош iptables, да только синтаксис правил у него достаточно неочевидный»
    А вот конфигурить стопицот конфигов типа сильно более очевидно, да у меня мозг впал в бесконечный цикл ещё на описании последовательности того как эта балалайка запускается, а когда я дошёл до слов:

    «Поскольку Shorewall позволяет сделать много чего, то и конфигурационных файлов у него достаточно. В простейшем случае, однако, можно обойтись пятью-шестью.»

    Так вообще статью читать перехотелось…

  2. l0l1t4

    11.01.2016 at 02:44

    После установки shorewall

    /etc/shorewall$ ls
    conntrack params shorewall.conf

    файлы конфигурации находятся в другом месте

    /usr/share/shorewall/configfiles$ ls
    accounting init params.annotated scfilter tcfilters
    accounting.annotated initdone policy secmarks tcfilters.annotated
    actions interfaces policy.annotated secmarks.annotated tcinterfaces
    actions.annotated interfaces.annotated providers shorewall.conf tcinterfaces.annotated
    arprules isusable providers.annotated shorewall.conf.annotated tcpri
    arprules.annotated lib.private proxyarp start tcpri.annotated
    blrules maclist proxyarp.annotated started tcrules
    blrules.annotated maclist.annotated refresh stop tcrules.annotated
    clear Makefile refreshed stopped tos
    conntrack masq restored stoppedrules tos.annotated
    conntrack.annotated masq.annotated routes stoppedrules.annotated tunnels
    ecn nat routes.annotated tcclasses tunnels.annotated
    ecn.annotated nat.annotated rtrules tcclasses.annotated zones
    findgw netmap rtrules.annotated tcclear zones.annotated
    hosts netmap.annotated rules tcdevices
    hosts.annotated params rules.annotated tcdevices.annotated

  3. andrewbutov

    13.02.2017 at 02:31

    Для тех кто хочет удалить это чудо инженерной мысли, для начала выполните очищение
    shorewall clear

    И только после этого уже удаляйте
    udo apt-get purge shorewall

Оставить мнение

Check Also

Господин Самоуничтожение. Как в домашних условиях смастерить Rubber Ducky со встроенной пиротехникой

Представь: ты втыкаешь в USB какую-то флешку, и вдруг в браузере открывается окно, где гру…