Byta till Shorewall? (Förr: Re: Trixa med ipchains...)
Magnus Ihse Bursie wrote:
Nä, det har du rätt i. Jag har nog varit lite rädd i onödan för binds
konfigurationsfiler bara. :)
Tusen tack för hjälpen! Jag har implementerat din lösning och den
fungerar hur bra som helst. Tänk att det var så enkelt. :)
Gôtt att det funkar! Varsågod. :-) Känner själv lite vånda varje år när det är
dags att fixa SSL-cert.
När jag såg ditt brandväggskript i det ursprungliga brevet så påmindes jag
dessutom om varför jag började använda Shorewall som brandvägg. Den beskrivs som
"... a high-level tool for configuring Netfilter."
När jag ändå håller på och prackar på folk mina konfigurationsfiler så kan jag
lika gärna infoga min Shorewall-konfig för den som är intresserad. :-) Helt
vanlig NAT plus en server på insidan. ("eth1" är externt. Har statisk IP, därav
avsaknaden av "dhcp" i "interfaces:net eth1".)
# cd /etc/shorewall
# egrep -v "^( *$|#)" * | egrep -v "(Makefile|shorewall\.conf|README\.txt):"
interfaces:net eth1 detect tcpflags,norfc1918,nosmurfs,logmartians
interfaces:loc eth0 detect dhcp,tcpflags,detectnets,nosmurfs
masq:eth1 eth0
params:matthew=192.168.221.3
policy:loc net ACCEPT
policy:loc $FW ACCEPT
policy:loc all REJECT info
policy:$FW all ACCEPT
policy:net $FW DROP
policy:net loc DROP info
policy:net all DROP info
policy:all all REJECT info
routestopped:eth1 -
rules:Ping/ACCEPT all all
rules:SSH/ACCEPT all $FW
rules:SMTP/DNAT net loc:$matthew
rules:IMAP/DNAT net loc:$matthew
rules:IMAPS/DNAT net loc:$matthew
rules:HTTP/DNAT net loc:$matthew
rules:HTTPS/DNAT net loc:$matthew
rules:FTP/DNAT net loc:$matthew
rules:DNAT net loc:$matthew:22 tcp 3527
zones:fw firewall
zones:net ipv4
zones:loc ipv4
(Ingen av filerna "Makefile", "shorewall.conf" eller "README.txt" har jag pillat
i, vad jag kan minnas.)
God natt!
/Martin
Reply to: