Re: Byta till Shorewall? (Förr: Re: Trixa med ipchains...)
Den den 4 augusti 2008 00:20 skrev Martin Leben <martin-1234@leben.nu>:
> Magnus Ihse Bursie wrote:
>>
>> Nä, det har du rätt i. Jag har nog varit lite rädd i onödan för binds
>> konfigurationsfiler bara. :)
>>
>> Tusen tack för hjälpen! Jag har implementerat din lösning och den fungerar
>> hur bra som helst. Tänk att det var så enkelt. :)
>
> Gôtt att det funkar! Varsågod. :-) Känner själv lite vånda varje år när det
> är dags att fixa SSL-cert.
>
>
> När jag såg ditt brandväggskript i det ursprungliga brevet så påmindes jag
> dessutom om varför jag började använda Shorewall som brandvägg. Den beskrivs
> som "... a high-level tool for configuring Netfilter."
>
> När jag ändå håller på och prackar på folk mina konfigurationsfiler så kan
> jag lika gärna infoga min Shorewall-konfig för den som är intresserad. :-)
> Helt vanlig NAT plus en server på insidan. ("eth1" är externt. Har statisk
> IP, därav avsaknaden av "dhcp" i "interfaces:net eth1".)
>
> # cd /etc/shorewall
> # egrep -v "^( *$|#)" * | egrep -v "(Makefile|shorewall\.conf|README\.txt):"
> interfaces:net eth1 detect tcpflags,norfc1918,nosmurfs,logmartians
> interfaces:loc eth0 detect dhcp,tcpflags,detectnets,nosmurfs
> masq:eth1 eth0
> params:matthew=192.168.221.3
> policy:loc net ACCEPT
> policy:loc $FW ACCEPT
> policy:loc all REJECT info
> policy:$FW all ACCEPT
> policy:net $FW DROP
> policy:net loc DROP info
> policy:net all DROP info
> policy:all all REJECT info
> routestopped:eth1 -
> rules:Ping/ACCEPT all all
> rules:SSH/ACCEPT all $FW
> rules:SMTP/DNAT net loc:$matthew
> rules:IMAP/DNAT net loc:$matthew
> rules:IMAPS/DNAT net loc:$matthew
> rules:HTTP/DNAT net loc:$matthew
> rules:HTTPS/DNAT net loc:$matthew
> rules:FTP/DNAT net loc:$matthew
> rules:DNAT net loc:$matthew:22 tcp 3527
> zones:fw firewall
> zones:net ipv4
> zones:loc ipv4
>
> (Ingen av filerna "Makefile", "shorewall.conf" eller "README.txt" har jag
> pillat i, vad jag kan minnas.)
>
> God natt!
> /Martin
Någon som satt upp/använder IPV6? Tips hur man sätter upp det (och brandvägg).
Jag vill använda riktiga IP-adresser till mina servrar, och inte
behöva hantera RNAT-adresser. Det är så bökigt...
Reply to: