Shorewall is an excellent free linux firewall which provides unparalleled level of fine grained control. Shorewall è un ottimo firewall libero per Linux che fornisce ineguagliabile livello di controllo granulare. It not only acts as a firewall and Gateway, it also supports DMZ, IP Masquerading (NAT & SNAT), Proxy ARP and more. Essa non solo agisce come un firewall e Gateway, supporta anche DMZ, IP Masquerading (NAT & SNAT), Proxy ARP e altro ancora. In short Shorewall is your one stop solution for complex networking routing needs, flexible & controllable internet connectivity options. In breve Shorewall è il tuo unico soluzione per la creazione di reti complesse esigenze di routing, flessibile e controllabile opzioni di connettività internet.

The Shoreline Firewall is a high-level tool for configuring Netfilter. La Shoreline Firewall è un elevato livello di strumento per la configurazione di netfilter. The firewall/gateway requirements are described in a set of configuration files. Il firewall / gateway requisiti sono descritti in una serie di file di configurazione. Shorewall reads those configuration files and configures Netfilter to match your requirements. Shorewall legge quelle file di configurazione e configura Netfilter per soddisfare le vostre esigenze. Shorewall can be used on a dedicated firewall system, a multi-function gateway/router/server or on a standalone GNU/Linux system. Shorewall può essere utilizzato su un apposito sistema firewall, un multi-funzione di gateway / router / server o stand-alone su un sistema GNU / Linux. Shorewall takes advantage of Netfilter’s connection state tracking capabilities to create a stateful firewall. Shorewall sfrutta la connessione di netfilter stato di monitoraggio capacità per creare un firewall. In short it provides full power of iptables without the associated complexity. In breve si prevede il pieno potere di iptables senza la relativa complessità.

Today I will describe a rather common setup where you have two or more redundant ADSL / Cable / T1 connections which you want to use to provide reliable internet connectivity to your intranet machines. Oggi voglio descrivere una configurazione piuttosto comune in cui si hanno due o più ridondante ADSL / Cable / T1 collegamenti che si desidera utilizzare per fornire connettività Internet affidabile per la propria intranet macchine. You have set aside a machine which will act as the firewall and gateway. Hai accantonare una macchina che funge da firewall e gateway. It will also provide transparent connectivity to you intranet machines using NAT / SNAT using the dual connections you have most likely configured earlier with load balancing & fail-over (see below). Sarà anche possibile disporre di connettività trasparenti a voi Intranet macchine utilizzando NAT / SNAT utilizzando la duplice connessioni avete configurato più probabile prima, con il bilanciamento del carico e fail-over (vedi sotto).

Note: This is the second part of article on providing Nota: Questa è la seconda parte dell'articolo di fornire load-balanced with fail-over internet connectivity using two or more DSL / Cable connections bilanciamento del carico con fail-over connettività Internet utilizzando due o più Cavo / DSL connessioni . You can read the first part Potete leggere la prima parte here qui .

Note: You can also use the concept from this article to configure a setup with single or more than two internet connection(s). Nota: È anche possibile utilizzare il concetto di questo articolo per configurare una configurazione singola o con più di due connessione internet (s).

Shorewall is configured using several configuration files. Shorewall è configurato utilizzando diversi file di configurazione. All configuration files are in /etc/shorewall directory. Tutti i file di configurazione sono in / etc / shorewall directory.

Shorewall views the network as being composed of zones. Shorewall punto di vista della rete come composto di zone. Shorewall recognizes the firewall system as its own zone. Shorewall riconosce il firewall di sistema come la sua area. One or more interfaces can be defined as belonging to a single zone. Una o più interfacce possono essere definite come appartenenti a una singola zona. However you can have multiple zones within a single interface too as well as nested and overlapped zones. Tuttavia si può avere più zone all'interno di una singola interfaccia di troppo e nidificati sovrapposti e zone.

In addition to the default zones I created two new zones - net & loc. Oltre alle zone di default ho creato due nuove zone - netto & loc. I added the following lines to zones file: Ho aggiunto le seguenti righe al file zone:

net ipv4 netto IPv4
loc ipv4 loc IPv4

The net zone represents the machines interfaces which provide internet connectivity. La rete rappresenta la zona di macchine per le interfacce che forniscono connettività Internet. I then define associate these zones with the interfaces in the interfaces file by adding the following lines: Ho poi definire associare queste zone con le interfacce nel file di interfacce aggiungendo le seguenti righe:

net eth1 detect netto rilevare eth1
net eth2 detect netto rilevare eth2
loc eth0 detect Linea di rilevare eth0

The main functionality of the firewall is configured in the policy file. Le principali funzionalità del firewall è configurato nel file dei criteri. Here I specify how the traffic is restricted across various zones. Io qui specificare in che modo il traffico è limitato in diverse zone. I added the following lines in policy file: Ho aggiunto le seguenti righe nel file dei criteri:

loc net ACCEPT loc netto ACCETTARE
net all DROP info netto tutti i DROP Info
$FW net ACCEPT $ FW netto ACCETTARE
$FW loc ACCEPT $ FW loc ACCETTARE
loc $FW ACCEPT loc $ FW ACCETTARE
all all REJECT info tutti i tutti i REJECT Info

Explanation Spiegazione
———— ----
loc net ACCEPT -&rt; Accept all connections from local network to internet loc netto accettare - &rt; Accetta tutti i collegamenti da rete locale a Internet
net all DROP info -&rt; Drop all incoming connection requests from network interfaces netto tutti i DROP informazioni - &rt; Drop tutte le richieste di connessione da interfacce di rete
$FW net ACCEPT -&rt; Accept connections from firewall to the internet interfaces $ FW netto accettare - &rt; Accetta connessioni da firewall per le interfacce Internet
$FW loc ACCEPT -&rt; Accept connections from firewall to the local network. $ FW loc accettare - &rt; Accetta connessioni da firewall per la rete locale. You may want to omit this line for added security. È possibile che si desideri omettere questa linea per una maggiore sicurezza.
loc $FW ACCEPT -&rt; Accept all connection from local network to firewall machine loc $ FW accettare - &rt; Accetta tutti i locali di connessione da firewall di rete per macchina
all all REJECT info -&rt; Reject everything else tutte le informazioni tutti i REJECT - &rt; Rifiuta tutto il resto

To enable IP Masquerading I need to specify the interfaces between which IP Masq needs to be enabled. Per attivare IP Masquerading ho bisogno di specificare le interfacce tra i quali IP MASQ deve essere attivato. I made the following additions to masq files to accomplish this: Ho fatto le seguenti aggiunte al file MASQ per realizzare questo:

eth1 172.16.0.0/24 192.168.1.10 eth1 172.16.0.0/24 192.168.1.10
eth2 172.16.0.0/24 192.168.0.10 eth2 172.16.0.0/24 192.168.0.10

The above lines instructs that IP Masquerading should be enabled from intranet to either eth1 or eth2 interfaces. Le righe qui sopra incarica IP Masquerading che dovrebbe essere attivato da una Intranet a eth1 o eth2 interfacce.

This completes the core configuration changes. Questo completa il nucleo modifiche di configurazione. Finally the shorewall.conf needs to be modified to enable shorewall, add the SNAT aliases and you can also do a minor optimization of the firewall while you are at it. Infine, la shorewall.conf deve essere modificata per consentire shorewall, aggiungere il SNAT alias ed è anche possibile fare una piccola ottimizzazione del firewall mentre siete esso. The changes to shorewall.conf are as follows: Le modifiche al shorewall.conf sono i seguenti:

STARTUP_ENABLED=Yes STARTUP_ENABLED = Sì
ADD_SNAT_ALIASES=Yes ADD_SNAT_ALIASES = Sì
FASTACCEPT=Yes FASTACCEPT = Sì

Now you are ready to go. Ora siete pronti ad andare. You should set shorewall to start as a service on rebooting with: È necessario impostare shorewall come per avviare un servizio su di riavviare con:
chkconfig shorewall on chkconfig a shorewall

You can start it now with: Potete iniziare subito con:
service shorewall start inizio servizio shorewall