Shorewall es un cortafuego libre excelente del linux que proporciona el nivel sin par de control granuloso fino. No s�lo act�a como cortafuego y entrada, tambi�n apoya DMZ, el IP que se disfraza (NAT y SNAT), el proxy ARP y m�s. En Shorewall corto es su para la soluci�n para las opciones complejas de las necesidades de la encaminamiento del establecimiento de una red, flexibles y controlables del Internet de la conectividad.

El cortafuego de la l�nea de la playa es una herramienta de alto nivel para configurar Netfilter. Los requisitos del cortafuego/de la entrada se describen en un sistema de archivos de configuraci�n. Shorewall lee esos archivos de configuraci�n y configura Netfilter para emparejar sus requisitos. Shorewall se puede utilizar en un sistema dedicado del cortafuego, una entrada de m�ltiples funciones/el ranurador/el servidor o en un sistema independiente de GNU/Linux. Shorewall se aprovecha de las capacidades de seguimiento del estado de la conexi�n de Netfilter para crear un cortafuego stateful. En cortocircuito proporciona plenos poderes de iptables sin la complejidad asociada.

Describir� hoy una disposici�n algo com�n donde usted tiene un ADSL/conexiones dos o m�s redundantes cable/T1 que usted quiere utilizar para proporcionar conectividad confiable del Internet a sus m�quinas del intranet. Usted ha puesto una m�quina a un lado que actuar� como el cortafuego y la entrada. Tambi�n le proporcionar� conectividad transparente las m�quinas del intranet usando el NAT/SNAT usando las conexiones duales que usted ha configurado muy probablemente anterior con el equilibrio de carga y el fail-over (v�ase abajo).

Nota: �sta es la segunda parte del art�culo sobre proporcionar carga-equilibrado conectividad del Internet del fail-over usando dos o m�s conexiones del DSL/de cable. Usted puede leer la primera parte aqu�.

Nota: Usted puede tambi�n utilizar el concepto de este art�culo para configurar una disposici�n con solo o m�s la conexi�n a internet de dos.

Shorewall se configura usando varios archivos de configuraci�n. Todos los archivos de configuraci�n est�n en el directorio de /etc/shorewall.

Shorewall ve la red como siendo compuesto de zonas. Shorewall reconoce el sistema del cortafuego como su propia zona. Uno o m�s interfaces se pueden definir como perteneciendo a una sola zona. Sin embargo usted puede tener zonas m�ltiples dentro de un solo interfaz tambi�n as� como zonas jerarquizadas y traslapadas.

Adem�s de las zonas del defecto cre� dos nuevas zonas - red y localizaci�n. Agregu� las l�neas siguientes al archivo de las zonas:

red ipv4
localizaci�n ipv4

La zona neta representa los interfaces de las m�quinas que proporcionan conectividad del Internet. Entonces defino al asociado que estas zonas con los interfaces en los interfaces archivan agregando las l�neas siguientes:

la red eth1 detecta
la red eth2 detecta
la localizaci�n eth0 detecta

La funcionalidad principal del cortafuego se configura en el archivo de la pol�tica. Aqu� especifico c�mo el tr�fico es restricto a trav�s de varias zonas. Agregu� las l�neas siguientes en archivo de la pol�tica:

la red de la localizaci�n ACEPTA
pesque toda la GOTA Info
la red de $FW ACEPTA
la localizaci�n de $FW ACEPTA
la localizaci�n $FW ACEPTA
todos los todos RECHAZAN el Info

Explicaci�n
- - - -
la red de la localizaci�n ACEPTA - el &rt; Acepte todas las conexiones de la red local al Internet
pesque toda la GOTA Info - &rt; Caiga todas las peticiones de conexi�n entrante de interfaces de red
la red de $FW ACEPTA - el &rt; Acepte las conexiones del cortafuego a los interfaces del Internet
la localizaci�n de $FW ACEPTA - el &rt; Acepte las conexiones del cortafuego a la red local. Usted puede querer omitir esta l�nea para la seguridad agregada.
la localizaci�n $FW ACEPTA - el &rt; Acepte toda la conexi�n de la red local a la m�quina del cortafuego
todos los todos RECHAZAN Info - &rt; Rechazo todo otro

Para permitir el IP disfraz�ndose que necesito especificar los interfaces entre los cuales el IP Masq necesita ser permitido. Hice las adiciones siguientes a los archivos del masq para lograr esto:

eth1 172.16.0.0 /24 192.168.1.10
eth2 172.16.0.0 /24 192.168.0.10

Las l�neas antedichas dan instrucciones que el IP que se disfraza sea permitido de intranet los interfaces a eth1 o a eth2.

Esto termina los cambios de configuraci�n de la base. Finalmente el shorewall.conf necesita ser modificado para permitir el shorewall, agrega los alias de SNAT y usted puede tambi�n hacer una optimizaci�n de menor importancia del cortafuego mientras que usted est� en �l. Los cambios a shorewall.conf son como sigue:

STARTUP_ENABLED=Yes
ADD_SNAT_ALIASES=Yes
FASTACCEPT=Yes

Usted est� listo ahora para ir. Usted debe fijar el shorewall al comienzo como servicio en la reanudaci�n con:
shorewall del chkconfig encendido

Usted puede ahora comenzarlo con:
mantenga el comienzo del shorewall