Shorewall is an excellent free linux firewall which provides unparalleled level of fine grained control. Shorewall имеет прекрасную бесплатно linux брандмауэр, который обеспечивает беспрецедентный уровень Мелкозернистая контроля. It not only acts as a firewall and Gateway, it also supports DMZ, IP Masquerading (NAT & SNAT), Proxy ARP and more. Он не только выступает в качестве брандмауэра и Gateway, она также поддерживает DMZ, IP Masquerading (NAT и SNAT), Proxy ARP и многое другое. In short Shorewall is your one stop solution for complex networking routing needs, flexible & controllable internet connectivity options. Короче Shorewall ваша одна остановка решение для сложной маршрутизации сетевых потребностей, гибкой и управляемой интернет-подключения.

The Shoreline Firewall is a high-level tool for configuring Netfilter. Береговой Firewall имеет высокого уровня инструмент для настройки Netfilter. The firewall/gateway requirements are described in a set of configuration files. Брандмауэра / шлюза требования изложены в набор конфигурационных файлов. Shorewall reads those configuration files and configures Netfilter to match your requirements. Shorewall читает эти файлы конфигурации и конфигурирует Netfilter, чтобы они соответствовали вашим требованиям. Shorewall can be used on a dedicated firewall system, a multi-function gateway/router/server or on a standalone GNU/Linux system. Shorewall может быть использован на выделенного межсетевого экрана система, мультифункциональный шлюз / маршрутизатор / сервер или на автономную GNU / Linux систему. Shorewall takes advantage of Netfilter’s connection state tracking capabilities to create a stateful firewall. Shorewall использует Netfilter подключения отслеживания состояния возможности для создания соединений брандмауэра. In short it provides full power of iptables without the associated complexity. Короче она обеспечивает полную мощь iptables, не связанных сложности.

Today I will describe a rather common setup where you have two or more redundant ADSL / Cable / T1 connections which you want to use to provide reliable internet connectivity to your intranet machines. Сегодня я буду описывать общие установки, а где у вас есть два или более излишним ADSL / Cable / T1 соединений, которые вы хотите использовать для обеспечения надежного подключения к интернет-интранет машины. You have set aside a machine which will act as the firewall and gateway. Вы должны выделить машину, которые будут выступать в качестве брандмауэра и шлюз. It will also provide transparent connectivity to you intranet machines using NAT / SNAT using the dual connections you have most likely configured earlier with load balancing & fail-over (see below). Он будет также представлять транспарентным подключения к вам в интранете компьютеров, использующих NAT / SNAT помощью двойного соединения у вас, скорее всего, настроены ранее с балансировки нагрузки и в случае отказа и старше (см. ниже).

Note: This is the second part of article on providing Примечание: Это вторая часть статьи по предоставлению load-balanced with fail-over internet connectivity using two or more DSL / Cable connections нагрузка-сбалансирована с в случае отказа в Интернет с использованием двух или более кбит / Кабельные соединения . You can read the first part Вы можете прочитать первую часть here здесь .

Note: You can also use the concept from this article to configure a setup with single or more than two internet connection(s). Примечание: Вы можете также использовать понятия из этой статьи для настройки параметров с одним или более чем на два интернет-соединения (ов).

Shorewall is configured using several configuration files. Shorewall настраивается с помощью нескольких конфигурационных файлов. All configuration files are in /etc/shorewall directory. Все конфигурационные файлы находятся в / и т.д. / shorewall каталоге.

Shorewall views the network as being composed of zones. Shorewall мнения сети как в составе зон. Shorewall recognizes the firewall system as its own zone. Shorewall признает, брандмауэра системы в своей собственной зоне. One or more interfaces can be defined as belonging to a single zone. Один или несколько интерфейсов, могут быть определены как принадлежащие к одной зоне. However you can have multiple zones within a single interface too as well as nested and overlapped zones. Однако, Вы можете иметь несколько зон, в рамках единого интерфейса тоже, а также вложенные и дублируют зон.

In addition to the default zones I created two new zones - net & loc. В дополнение к умолчанию зонах Я создал два новых зон - чистая и локомотив. I added the following lines to zones file: Я добавил следующие строки в файл зоны:

net ipv4 IPv4-нетто
loc ipv4 IPv4-локомотив

The net zone represents the machines interfaces which provide internet connectivity. Чистая зона представляет машин интерфейсов, которые обеспечивают возможности подключения к Интернету. I then define associate these zones with the interfaces in the interfaces file by adding the following lines: Я потом определить связать эти зоны с интерфейсами в интерфейсах файл, добавив следующие строки:

net eth1 detect нетто eth1 обнаруживать
net eth2 detect нетто eth2 обнаруживать
loc eth0 detect локомотив eth0 обнаруживать

The main functionality of the firewall is configured in the policy file. Основная функциональность брандмауэра настраивается в политике файл. Here I specify how the traffic is restricted across various zones. Здесь я конкретно указать, каким образом трафик ограничен в различных зонах. I added the following lines in policy file: Я добавил следующие строки в файле политики:

loc net ACCEPT локомотив нетто ACCEPT
net all DROP info нетто всех DROP информация
$FW net ACCEPT $ FW нетто ACCEPT
$FW loc ACCEPT $ FW локомотив ACCEPT
loc $FW ACCEPT локомотив ACCEPT $ FW
all all REJECT info все все REJECT информация

Explanation Объяснение
———— ----
loc net ACCEPT -&rt; Accept all connections from local network to internet локомотив нетто ACCEPT - &rt; Принять все соединения из локальной сети к интернету
net all DROP info -&rt; Drop all incoming connection requests from network interfaces нетто всех DROP информация - &rt; Drop связи все входящие запросы от сетевых интерфейсов
$FW net ACCEPT -&rt; Accept connections from firewall to the internet interfaces $ FW нетто ACCEPT - &rt; принимать соединения от брандмауэра к интернету интерфейсы
$FW loc ACCEPT -&rt; Accept connections from firewall to the local network. $ FW локомотив ПРИНИМАЮТ - &rt; принимать соединения от брандмауэра к локальной сети. You may want to omit this line for added security. Вы можете пропустить эту линию для дополнительной безопасности.
loc $FW ACCEPT -&rt; Accept all connection from local network to firewall machine локомотив ACCEPT $ FW - &rt; Принять все соединения из локальной сети к машине брандмауэра
all all REJECT info -&rt; Reject everything else все все REJECT информация - &rt; Отклонить все остальное

To enable IP Masquerading I need to specify the interfaces between which IP Masq needs to be enabled. Для того чтобы IP Masquerade-Мне необходимо указать интерфейсы, между которыми IP Masq должна быть включена. I made the following additions to masq files to accomplish this: Я сделал следующие дополнения к masq файлы для достижения этой цели:

eth1 172.16.0.0/24 192.168.1.10 eth1 172.16.0.0/24 192.168.1.10
eth2 172.16.0.0/24 192.168.0.10 eth2 172.16.0.0/24 192.168.0.10

The above lines instructs that IP Masquerading should be enabled from intranet to either eth1 or eth2 interfaces. Выше линии указывает, что IP маскарад, должны иметь возможность из интрасети либо eth1 и eth2 интерфейсов.

This completes the core configuration changes. На этом основные изменения в конфигурации. Finally the shorewall.conf needs to be modified to enable shorewall, add the SNAT aliases and you can also do a minor optimization of the firewall while you are at it. Наконец shorewall.conf должен быть изменен, с тем чтобы shorewall, добавить SNAT псевдонимов, и Вы также можете сделать незначительные оптимизации брандмауэр, пока вы на нее. The changes to shorewall.conf are as follows: Shorewall.conf изменения заключаются в следующем:

STARTUP_ENABLED=Yes STARTUP_ENABLED = Yes
ADD_SNAT_ALIASES=Yes ADD_SNAT_ALIASES = Yes
FASTACCEPT=Yes FASTACCEPT = Yes

Now you are ready to go. Теперь вы готовы пойти. You should set shorewall to start as a service on rebooting with: Вы должны установить shorewall начать, как службы по перезагрузкой с:
chkconfig shorewall on chkconfig по shorewall

You can start it now with: Вы можете запустить его сейчас с:
service shorewall start shorewall начала службы