Shorewall is an excellent free linux firewall which provides unparalleled level of fine grained control. shorewallは、優れた無料のLinuxのファイアウォールで比類のないレベルのきめの細かい制御を提供します。 It not only acts as a firewall and Gateway, it also supports DMZ, IP Masquerading (NAT & SNAT), Proxy ARP and more.それだけでなく、ファイアウォールやゲートウェイとして機能する、それもサポート非武装地帯は、 IPマスカレード( NATとSNATと) 、プロキシARPです。 In short Shorewall is your one stop solution for complex networking routing needs, flexible & controllable internet connectivity options.端的にshorewallは、ワンストップソリューションを提供して複雑なネットワークのルーティングのニーズに、柔軟性と制御インターネット接続オプションを選択します。

The Shoreline Firewall is a high-level tool for configuring Netfilter.海岸線は、高レベルのファイアウォールの設定を行うためのツールNetfilterとします。 The firewall/gateway requirements are described in a set of configuration files.は、ファイアウォール/ゲートウェイの要件は、一連の設定ファイルに記載されています。 Shorewall reads those configuration files and configures Netfilter to match your requirements. shorewall読み取りますNetfilterとそれらの設定ファイルと設定の要件に合わせてください。 Shorewall can be used on a dedicated firewall system, a multi-function gateway/router/server or on a standalone GNU/Linux system. shorewallには専用のファイアウォール使用されてできるシステムは、多機能ゲートウェイ/ルータ/サーバーまたはスタンドアロンGNU / Linuxシステムです。 Shorewall takes advantage of Netfilter’s connection state tracking capabilities to create a stateful firewall. shorewall Netfilterとの接続状態を活用トラッキング機能を作成するにステートフルファイアウォールです。 In short it provides full power of iptables without the associated complexity.これは要するにiptablesのフルパワーを複雑に関連付けられています。

Today I will describe a rather common setup where you have two or more redundant ADSL / Cable / T1 connections which you want to use to provide reliable internet connectivity to your intranet machines.今日の私は普通の設定を説明するというがどこにある2つ以上の冗長adsl /ケーブル/ t1を取得したいの接続信頼性を提供するインターネット接続を使用するお客様のイントラネットのマシンです。 You have set aside a machine which will act as the firewall and gateway.取っておく必要がマシンには、ファイアウォールやゲートウェイとしての役目を果たす。 It will also provide transparent connectivity to you intranet machines using NAT / SNAT using the dual connections you have most likely configured earlier with load balancing & fail-over (see below).透明性の接続を提供することもあなたのマシンを使用してイントラネットのNAT / SNATとデュアル接続を使用して、以前の設定が最も高いと負荷分散&フェールオーバー(下記参照) 。

Note: This is the second part of article on providing注:これは2番目の部分の記事を提供する load-balanced with fail-over internet connectivity using two or more DSL / Cable connectionsロードバランスとフェールオーバーのインターネット接続を使用して、 2つ以上のDSL /ケーブル接続 .です。 You can read the first partの最初の部分を読むことができます hereここで .です。

Note: You can also use the concept from this article to configure a setup with single or more than two internet connection(s).注:からの概念を使用することもこの記事を構成するにセットアップを1つまたは2つ以上のインターネット接続(秒)です。

Shorewall is configured using several configuration files. shorewallは、いくつかの設定ファイルを使用して構成します。 All configuration files are in /etc/shorewall directory.すべての設定ファイルはは/ etc / shorewallディレクトリにコピーします。

Shorewall views the network as being composed of zones. shorewall再生回数のネットワークのゾーンで構成されています。 Shorewall recognizes the firewall system as its own zone. shorewall認識してファイアウォールのシステムとして、独自のゾーンです。 One or more interfaces can be defined as belonging to a single zone. 1つまたは複数のインターフェイスとして定義されては、 1つのゾーンに属しています。 However you can have multiple zones within a single interface too as well as nested and overlapped zones.しかし、複数のゾーンにすることができますが、 1つのインターフェイスをあまりにも重複ゾーンだけでなく、ネストされたとします。

In addition to the default zones I created two new zones - net & loc.デフォルトのゾーンに加えて、新しい2つのゾーンを作成-当期純&て下さい。 I added the following lines to zones file:のゾーンファイルに次の行を追加されました:

net ipv4 ネットのIPv4
loc ipv4 組織委員会のIPv4

The net zone represents the machines interfaces which provide internet connectivity.ネットゾーンは、マシンインターフェイスを提供するインターネット接続を実現します。 I then define associate these zones with the interfaces in the interfaces file by adding the following lines:私准これらのゾーンを定義するインターフェイスでは、 インターフェイスのファイルに次の行を追加して:

net eth1 detect 当期純eth1検出
net eth2 detect 当期純eth2検出
loc eth0 detect 組織委員会eth0の検出

The main functionality of the firewall is configured in the policy file.の主な機能は、ファイアウォールのポリシーファイルで構成されています。 Here I specify how the traffic is restricted across various zones.ここに私はどのように指定する様々なゾーン全体のトラフィックが制限されます。 I added the following lines in policy file:のポリシーファイルに次の行を追加されました:

loc net ACCEPT 組織委員会純受入
net all DROP info ネットのすべてのドロップ情報をもっと見る
$FW net ACCEPT $ファームウェアの純受入
$FW loc ACCEPT $ファームウェアの組織委員会受入
loc $FW ACCEPT 組織委員会$ファームウェアの受入
all all REJECT info すべてのすべての拒否に関する情報を

Explanation説明
———— ----
loc net ACCEPT -&rt; Accept all connections from local network to internet組織委員会純受入-& rt;ローカルネットワークからの接続をすべて受け入れるインターネット
net all DROP info -&rt; Drop all incoming connection requests from network interfacesネットのすべてのドロップに関する情報-& rt;ドロップのネットワークインターフェイスからのすべての着信接続要求
$FW net ACCEPT -&rt; Accept connections from firewall to the internet interfaces $ファームウェアの純受入-& rt;インターネットからの接続を許可してファイアウォールのインターフェイス
$FW loc ACCEPT -&rt; Accept connections from firewall to the local network. $ファームウェアの組織委員会を受け入れる-& rt;からの接続を許可し、ローカルネットワークのファイアウォールです。 You may want to omit this line for added security.この行を省略することができます安全保障を追加します。
loc $FW ACCEPT -&rt; Accept all connection from local network to firewall machine組織委員会$ファームウェアの受入-& rt;すべての接続を受け入れるマシンからローカルネットワークにファイアウォール
all all REJECT info -&rt; Reject everything elseすべてのすべての拒否に関する情報-他のすべてを拒否& rt;

To enable IP Masquerading I need to specify the interfaces between which IP Masq needs to be enabled.マスカレーディングを有効にするインターフェイスを指定する必要がある私の間にどのIP見せかけのニーズが有効になっています。 I made the following additions to masq files to accomplish this:私は見せかけのファイルは、次の機能が追加さこれを達成するため:

eth1 172.16.0.0/24 192.168.1.10 eth1 172.16.0.0/24 192.168.1.10
eth2 172.16.0.0/24 192.168.0.10 eth2 172.16.0.0/24 192.168.0.10

The above lines instructs that IP Masquerading should be enabled from intranet to either eth1 or eth2 interfaces.指示をマスカレーディング、上記の行が有効になってからは、イントラネットのいずれかにeth1やeth2インターフェイスです。

This completes the core configuration changes.このコア構成の変更が完了しています。 Finally the shorewall.conf needs to be modified to enable shorewall, add the SNAT aliases and you can also do a minor optimization of the firewall while you are at it.最後に、変更を有効にする必要があります。 shorewall.conf shorewall 、追加してSNATとエイリアスとすることもできます。マイナーの最適化を行うファイアウォールの中には、ということになります。 The changes to shorewall.conf are as follows:への変更をshorewall.confは以下のとおり:

STARTUP_ENABLED=Yes startup_enabled =はい
ADD_SNAT_ALIASES=Yes add_snat_aliases =はい
FASTACCEPT=Yes fastaccept =はい

Now you are ready to go.あなたが今すぐに出る準備をしています。 You should set shorewall to start as a service on rebooting with: shorewallを設定する必要が起動できるようにするサービスを再起動すると:
chkconfig shorewall on また、 chkconfigをshorewall

You can start it now with:今すぐに開始することができます:
service shorewall start サービスshorewallスタート]ボタンを