Shorewall is an excellent free linux firewall which provides unparalleled level of fine grained control. Shorewall est un excellent pare-feu Linux libre qui prévoit niveau sans précédent de grains fins de contrôle. It not only acts as a firewall and Gateway, it also supports DMZ, IP Masquerading (NAT & SNAT), Proxy ARP and more. Non seulement elle agit comme un pare-feu et passerelle, il soutient également la zone démilitarisée, IP masquerading (NAT & SNAT), Proxy ARP et plus. In short Shorewall is your one stop solution for complex networking routing needs, flexible & controllable internet connectivity options. En bref votre Shorewall est une solution d'arrêt pour mise en réseau complexe de routage besoins, souple et contrôlable options de connectivité Internet.

The Shoreline Firewall is a high-level tool for configuring Netfilter. Le littoral est un pare-feu de haut niveau outil de configuration de Netfilter. The firewall/gateway requirements are described in a set of configuration files. Le pare-feu / passerelle exigences sont décrites dans un ensemble de fichiers de configuration. Shorewall reads those configuration files and configures Netfilter to match your requirements. Shorewall lit les fichiers de configuration et configure Netfilter à répondre exactement à vos besoins. Shorewall can be used on a dedicated firewall system, a multi-function gateway/router/server or on a standalone GNU/Linux system. Shorewall peut être utilisé sur un système pare-feu dédié, un multi-fonction de passerelle / routeur / serveur ou sur un état du système GNU / Linux. Shorewall takes advantage of Netfilter’s connection state tracking capabilities to create a stateful firewall. Shorewall prend avantage de Netfilter en rapport avec l'état de suivi des capacités pour créer un pare-feu. In short it provides full power of iptables without the associated complexity. En bref, il offre toute la puissance de iptables sans la complexité associés.

Today I will describe a rather common setup where you have two or more redundant ADSL / Cable / T1 connections which you want to use to provide reliable internet connectivity to your intranet machines. Aujourd'hui, je vais plutôt décrire une configuration commune où vous avez deux ou plusieurs licenciés ADSL / Câble / T1 connexions que vous souhaitez utiliser pour offrir une connectivité Internet à votre intranet des machines. You have set aside a machine which will act as the firewall and gateway. Vous avez mis de côté une machine qui fera office de pare-feu et la passerelle. It will also provide transparent connectivity to you intranet machines using NAT / SNAT using the dual connections you have most likely configured earlier with load balancing & fail-over (see below). Il fournira également une connectivité transparente à votre intranet en utilisant des machines NAT / SNAT en utilisant les connexions double vous avez probablement configuré plus tôt avec l'équilibrage de charge et de basculement (voir ci-dessous).

Note: This is the second part of article on providing Note: Il s'agit de la deuxième partie de l'article sur la prestation de load-balanced with fail-over internet connectivity using two or more DSL / Cable connections équilibrage de charge avec en cas de panne sur la connectivité Internet au moyen de deux ou plusieurs DSL / Câble connexions . You can read the first part Vous pouvez lire la première partie here ici .

Note: You can also use the concept from this article to configure a setup with single or more than two internet connection(s). Note: Vous pouvez également utiliser le concept de cet article à configurer une configuration avec un seul ou deux de plus de connexion internet (s).

Shorewall is configured using several configuration files. Shorewall est configuré en utilisant plusieurs fichiers de configuration. All configuration files are in /etc/shorewall directory. Tous les fichiers de configuration sont dans / etc / shorewall répertoire.

Shorewall views the network as being composed of zones. Shorewall considère le réseau comme étant composé de zones. Shorewall recognizes the firewall system as its own zone. Shorewall reconnaît le système de pare-feu que de sa propre zone. One or more interfaces can be defined as belonging to a single zone. Un ou plusieurs interfaces peuvent être définies comme appartenant à une zone unique. However you can have multiple zones within a single interface too as well as nested and overlapped zones. Cependant, vous pouvez disposer de plusieurs zones dans une seule interface trop ainsi que emboîtés et les zones de chevauchement.

In addition to the default zones I created two new zones - net & loc. En plus des zones par défaut, j'ai créé deux nouvelles zones - Net & loc. I added the following lines to zones file: J'ai ajouté les lignes suivantes à des zones fichier:

net ipv4 net IPv4
loc ipv4 loc IPv4

The net zone represents the machines interfaces which provide internet connectivity. Le produit net zone représente les machines qui offrent des interfaces de connectivité Internet. I then define associate these zones with the interfaces in the interfaces file by adding the following lines: J'ai ensuite définir associer ces zones avec les interfaces dans le fichier interfaces en ajoutant les lignes suivantes:

net eth1 detect net eth1 détecter
net eth2 detect net détecter eth2
loc eth0 detect loc eth0 détecter

The main functionality of the firewall is configured in the policy file. Les principales fonctionnalités du firewall est configuré dans le fichier. Here I specify how the traffic is restricted across various zones. Ici, je préciser comment le trafic est limité dans différentes zones. I added the following lines in policy file: J'ai ajouté les lignes suivantes au fichier:

loc net ACCEPT loc net ACCEPT
net all DROP info net tous les DROP Info
$FW net ACCEPT $ FW net ACCEPT
$FW loc ACCEPT $ FW loc ACCEPT
loc $FW ACCEPT loc $ FW ACCEPTER
all all REJECT info Tous Tous REJETER d'infos

Explanation Explication
———— ----
loc net ACCEPT -&rt; Accept all connections from local network to internet loc net ACCEPT - &rt; Accepter toutes les connexions de réseau local à Internet
net all DROP info -&rt; Drop all incoming connection requests from network interfaces net tous les DROP info - &rt; Drop toutes les demandes de connexion des interfaces de réseau
$FW net ACCEPT -&rt; Accept connections from firewall to the internet interfaces $ FW net ACCEPT - &rt; accepter les connexions de pare-feu pour les interfaces Internet
$FW loc ACCEPT -&rt; Accept connections from firewall to the local network. $ FW loc ACCEPT - &rt; accepter les connexions de pare-feu pour le réseau local. You may want to omit this line for added security. Vous voulez mai de supprimer cette ligne pour plus de sécurité.
loc $FW ACCEPT -&rt; Accept all connection from local network to firewall machine loc ACCEPT $ FW - &rt; accepter tout lien de réseau local à la machine pare-feu
all all REJECT info -&rt; Reject everything else Tous Tous REJECT info - &rt; Refuser tout le reste

To enable IP Masquerading I need to specify the interfaces between which IP Masq needs to be enabled. Pour activer le masquage IP je besoin de spécifier les interfaces entre IP Masq qui doit être activée. I made the following additions to masq files to accomplish this: J'ai fait les ajouts suivants à masq fichiers à accomplir ceci:

eth1 172.16.0.0/24 192.168.1.10 eth1 172.16.0.0/24 192.168.1.10
eth2 172.16.0.0/24 192.168.0.10 eth2 172.16.0.0/24 192.168.0.10

The above lines instructs that IP Masquerading should be enabled from intranet to either eth1 or eth2 interfaces. Les lignes ci-dessus donne instruction que le masquage IP devraient avoir la possibilité de intranet soit eth1 ou eth2 interfaces.

This completes the core configuration changes. Cela complète les changements de configuration de base. Finally the shorewall.conf needs to be modified to enable shorewall, add the SNAT aliases and you can also do a minor optimization of the firewall while you are at it. Enfin, le shorewall.conf doit être modifiée pour permettre shorewall, ajouter les alias et la SNAT, vous pouvez aussi faire un mineur d'optimisation du firewall pendant que vous êtes à elle. The changes to shorewall.conf are as follows: Les modifications apportées à shorewall.conf sont comme suit:

STARTUP_ENABLED=Yes STARTUP_ENABLED = Oui
ADD_SNAT_ALIASES=Yes ADD_SNAT_ALIASES = Oui
FASTACCEPT=Yes FASTACCEPT = Oui

Now you are ready to go. Vous êtes maintenant prêt à aller. You should set shorewall to start as a service on rebooting with: Vous devriez régler shorewall de commencer un service sur le redémarrage avec:
chkconfig shorewall on chkconfig sur shorewall

You can start it now with: Vous pouvez commencer dès maintenant avec:
service shorewall start service shorewall début