Shorewall is an excellent free linux firewall which provides unparalleled level of fine grained control. Shorewall é um excelente livre linux firewall que oferece inigualável nível de grãos finos controle. It not only acts as a firewall and Gateway, it also supports DMZ, IP Masquerading (NAT & SNAT), Proxy ARP and more. Ela não só actua como um firewall e Gateway, que ele também suporta DMZ, IP Masquerading (NAT & SNAT), Proxy ARP e muito mais. In short Shorewall is your one stop solution for complex networking routing needs, flexible & controllable internet connectivity options. Em suma Shorewall é a sua solução para interromper uma complexa rede encaminhamento necessidades, flexível e controlável opções de conectividade Internet.

The Shoreline Firewall is a high-level tool for configuring Netfilter. O litoral Firewall é uma ferramenta de alto nível para configurar Netfilter. The firewall/gateway requirements are described in a set of configuration files. O firewall / gateway requisitos são descritos em um conjunto de arquivos de configuração. Shorewall reads those configuration files and configures Netfilter to match your requirements. Shorewall lê os arquivos de configuração e configura Netfilter para atender às suas necessidades. Shorewall can be used on a dedicated firewall system, a multi-function gateway/router/server or on a standalone GNU/Linux system. Shorewall pode ser usado em um sistema dedicado firewall, um multi-funções gateway / roteador / ou em um servidor standalone GNU / Linux sistema. Shorewall takes advantage of Netfilter’s connection state tracking capabilities to create a stateful firewall. Shorewall toma vantagem do Netfilter capacidades de conexão do estado de rastreamento para criar um firewall dinâmico. In short it provides full power of iptables without the associated complexity. Em breve ele fornece poder completo do iptables sem a complexidade associada.

Today I will describe a rather common setup where you have two or more redundant ADSL / Cable / T1 connections which you want to use to provide reliable internet connectivity to your intranet machines. Hoje vou descrever uma configuração bastante comum quando você tem dois ou mais redundante ADSL / Cabo / T1 ligações que você quer usar para fornecer conectividade Internet confiável para sua intranet máquinas. You have set aside a machine which will act as the firewall and gateway. Você tem reservada uma máquina que funcionará como o firewall e gateway. It will also provide transparent connectivity to you intranet machines using NAT / SNAT using the dual connections you have most likely configured earlier with load balancing & fail-over (see below). Também irá fornecer conectividade transparente para você intranet máquinas usando NAT / SNAT usando a dupla conexões você tem mais probabilidade configurado anteriormente com balanceamento de carga e deixar a cargo (veja abaixo).

Note: This is the second part of article on providing Nota: Esta é a segunda parte do artigo sobre a prestação load-balanced with fail-over internet connectivity using two or more DSL / Cable connections - com carga equilibrada deixar a cargo de ligação à Internet utilizando dois ou mais DSL / Cabo conexões . You can read the first part Você pode ler a primeira parte here aqui .

Note: You can also use the concept from this article to configure a setup with single or more than two internet connection(s). Observação: Você também pode usar o conceito de este artigo para configurar uma configuração única ou com mais de dois ligação à internet (s).

Shorewall is configured using several configuration files. Shorewall é configurado usando vários arquivos de configuração. All configuration files are in /etc/shorewall directory. Todos os arquivos de configuração estão em / etc / shorewall diretório.

Shorewall views the network as being composed of zones. Shorewall vistas a rede como sendo composto por zonas. Shorewall recognizes the firewall system as its own zone. Shorewall reconhece o sistema de firewall como a sua própria zona. One or more interfaces can be defined as belonging to a single zone. Um ou mais interfaces podem ser definidas como pertencentes a uma única zona. However you can have multiple zones within a single interface too as well as nested and overlapped zones. No entanto, pode ter várias zonas dentro de uma única interface muito bem como aninhadas e zonas sobreposta.

In addition to the default zones I created two new zones - net & loc. Para além do padrão zonas I criou duas novas zonas - net & loc. I added the following lines to zones file: Eu adicionei as seguintes linhas ao arquivo zonas:

net ipv4 net IPv4
loc ipv4 loc IPv4

The net zone represents the machines interfaces which provide internet connectivity. O líquido zona representa as máquinas interfaces que fornecem conectividade Internet. I then define associate these zones with the interfaces in the interfaces file by adding the following lines: Eu então definir associar estas zonas com as interfaces no arquivo interfaces, adicionando as seguintes linhas:

net eth1 detect net eth1 detectar
net eth2 detect net detectar eth2
loc eth0 detect loc eth0 detectar

The main functionality of the firewall is configured in the policy file. A principal funcionalidade do firewall é configurado na política arquivo. Here I specify how the traffic is restricted across various zones. Aqui eu especificar a forma como o tráfego está restrito por várias zonas. I added the following lines in policy file: Eu adicionei as seguintes linhas de política arquivo:

loc net ACCEPT loc líquido ACEITAR
net all DROP info net todos os DROP Info
$FW net ACCEPT Net ACCEPT $ FW
$FW loc ACCEPT Loc ACCEPT $ FW
loc $FW ACCEPT loc $ FW ACEITAR
all all REJECT info todos os todos os REJECT Info

Explanation Explicação
———— ----
loc net ACCEPT -&rt; Accept all connections from local network to internet loc líquido ACEITA - &rt; Aceitar todas as conexões de rede local à Internet
net all DROP info -&rt; Drop all incoming connection requests from network interfaces net todos os DROP info - &rt; Drop todos os pedidos de ligação à rede de interfaces
$FW net ACCEPT -&rt; Accept connections from firewall to the internet interfaces Net ACCEPT $ FW - &rt; Aceitar conexões de firewall para a internet interfaces
$FW loc ACCEPT -&rt; Accept connections from firewall to the local network. Loc ACCEPT $ FW - &rt; Aceitar conexões de firewall para a rede local. You may want to omit this line for added security. Você pode querer omitir essa linha para aumentar a segurança.
loc $FW ACCEPT -&rt; Accept all connection from local network to firewall machine loc $ FW ACEITA - &rt; Aceitar todos os conexão de rede local para a máquina firewall
all all REJECT info -&rt; Reject everything else todos os todos os REJECT info - &rt; Rejeitar tudo o resto

To enable IP Masquerading I need to specify the interfaces between which IP Masq needs to be enabled. Para ativar o IP Masquerading eu necessidade de especificar as interfaces entre os quais IP Masq precisa ser ativado. I made the following additions to masq files to accomplish this: Eu fiz os seguintes aditamentos ao masq arquivos para realizar esta tarefa:

eth1 172.16.0.0/24 192.168.1.10 eth1 172.16.0.0/24 192.168.1.10
eth2 172.16.0.0/24 192.168.0.10 eth2 172.16.0.0/24 192.168.0.10

The above lines instructs that IP Masquerading should be enabled from intranet to either eth1 or eth2 interfaces. As linhas acima instrui o IP Masquerading que deve ser ativado a partir de intranet, quer a eth1 ou eth2 interfaces.

This completes the core configuration changes. Isto completa a configuração mudanças fundamentais. Finally the shorewall.conf needs to be modified to enable shorewall, add the SNAT aliases and you can also do a minor optimization of the firewall while you are at it. Por último, a shorewall.conf necessita de ser alterada para permitir que shorewall, adicione o SNAT apelidos e você também pode fazer uma pequena otimização do firewall ao mesmo tempo em que você é. The changes to shorewall.conf are as follows: As alterações ao shorewall.conf são as seguintes:

STARTUP_ENABLED=Yes STARTUP_ENABLED = Sim
ADD_SNAT_ALIASES=Yes ADD_SNAT_ALIASES = Sim
FASTACCEPT=Yes FASTACCEPT = Sim

Now you are ready to go. Agora você está pronto para ir. You should set shorewall to start as a service on rebooting with: Você deve definir shorewall para começar como um serviço a reinicialização com:
chkconfig shorewall on chkconfig em shorewall

You can start it now with: Você pode começar agora com:
service shorewall start Serviço de começar shorewall